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The apparatus (38) is connected to sensors 
(20,22) and/or actuators (24-30) and analyses, 
processes and controls their states. The 
apparatus is connected to the control (36) and 
transmits to it, in dependence on the state of the 
sensors and/or actuators, at least one release 
signal to enable at least one action in the 
manipulator (10). The execution of this action is 
monitored by the monitoring and control 
apparatus (38). In the case of a fault, at least one 
further signal is generated to bring the system 
into a safe state. Independent claims also cover a 
method of monitoring the system. 
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(54) Verfahren zur Uberwachung einer technischen Anlage, insbesondere eines 
Handhabungsgerates, sowie Uberwachungs- und Steuergerat 



(57) Die Erfindung bezieht sich auf ein Ubenva- 
chungs- und Steuergerat (38) sowie ein Verfahren zur 
Uberwachung einer zumindest eine portable und/oder 
mobile und/oder immobile Einrichtung umfassenden 
technischen Anlage (10) mit erhohten Sicherheitsanfor- 
derungen, insbesondere eines in einer Schutzeinrich- 
tung angeordneten Handhabungsgerates. Die Anlage 
umfasst zumindest eine vorzugsweise zentrale und/ 
oder dezentrale Steuereinheit (36) sowie mit dieser ver- 
bundene Aktoren (24 - 30; K1 , K2) zur Ausfuhrung von 
gefahrbringenden Aktionen. Das Uberwachungs- und 



Steuergerat ist flexibel einsetzbar und erhalt die Sicher- 
heit der technischen Anlage. Dazu wird vorgeschlagen, 
dass das Uberwachungs- und Steuergerat (38) mit der 
Steuereinheit (36) und mit Sensoren (20, 22) und/oder 
Aktoren (24 - 30) verbunden ist und deren Zustande 
auswertet, verarbeitet und steuert und in Abhangigkeit 
der Zustande der Sensoren (20, 22) und/oder Aktoren 
(24 - 30) zumindest ein Freigabesignal an die Steuer- 
einheit (36) zur Ermdglichung zumindest einer Bewe- 
gung in der technischen Anlage (10) ubertragt. Dabei 
wird die Bewegung.uberwacht. Tritt ein Fehler auf, wird 
die Anlage in einen sicheren Zustand uberfuhrt. 
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Beschreibung 

[0001] Die Erfindung bezieht sich auf ein Verfahren zur Uberwachung der Geschwindigkeit eines im Raum beweg- 
baren handhabungsgeratespezifischen Punktes, vorzugsweise eines Roboterflansches Oder eines Tool-Center-Points 
(TCP) einer technischen Anlage, insbesondere eines Handhabungsgerates. 

[0002] Auch bezieht sich die Erfindung auf ein Uberwachungs- und Steuergerat zur Durchfuhrung des Verfahrens. 
[0003] Um ein Handhabungsgerat derart auszubilden, dass es auch in der Nahe von Personen betrieben werden 
kann, wird in der DE 39 02 247 A1 vorgeschfagen, Istwertgeber fur Lage-Ruckmeldungen und Regelkreise redundant 
auszubilden und zusatzlich eine Oberwachungs-und Sicherheitsschaltung vorzusehen, die bei Signalabweichungen 
zwischen den redundanten Abgriffen anspricht. 

[0004] Die Uberwachungs- und Sicherheitsschaltung spricht auf Signalabweichungen zwischen den redundanten 
Istwertgebem an, wobei jedoch externe Sicherheitsvorkehrungen in die Prufung nicht einbezogen werden. Auch ist 
bei der bekannten Uberwachungs- und Sicherheitsschaltung nicht vorgesehen, dass diese aktiv in den Bewegungs- 
ablauf der Handhabungsmaschine eingreifen kann. 

[0005] Aus der DE 296 20 592 U1 ist eine Einrichtung zum sicherheitsgerichteten Uberwachen einer Maschinen- 
achse bekannt, die ein getrenntes Prozessor- und Istwert-Erfassungssystem sowie eine Fehleraufdeckung durch Si- 
gnalvergleichstest und Zwangsdynamisierung aufweist. Die Vorrichtung weist zwei separate Istwert-Erfassungssyste- 
me auf, die ihre Istwerte jeweils getrennten Prozessoren zuleiten. In den Prozessoren werden die Istwerte mit Ober- 
und Untergrenzwerten verglichen. 

[0006] Zur Steuerung und Uberwachung einer Bremseinrichtung fur Antriebe eines Handhabungsgerates ist aus 
dem Stand der Technik bekannt, dass eine Bedienperson bei geschlossener Bremseinrichtung einen Antrieb zur Er- 
zeugung eines Drehmomentes mit einem Strom beaufschlagt und uber Sichtkontakt priift, ob sich der Antrieb bei 
geschlossener Bremseinrichtung bewegt. Diese Vorgehensweise ist unprazise und muss fur jede Achse separat durch- 
gefuhrt werden. 

[0007] Der vorliegenden Erfindung liegt das Problem zu Grunde, die Sicherheit der Uberwachung von Bewegungs- 
ablaufen einer technischen Anlage zu erhdhen, wobei insbesondere ein definierter Punkt einer Einrichtung der tech- 
nischen Anlage im kartesischen Raum zu uberwachen ist. 

[0008] Auch soil ein Verfahren und eine Vorrichtung zum sicherheitsgerichteten Uberwachen einer Achse einer An- 
triebseinheit derart weitergerbildet werden, dass die Realisierung einer einkanaligen Istwert-Erfassungssensorik fur 
erhohte sicherheitsgerichtete Anforderungen ermoglicht wird. 

[0009] Zur Losung des Probelms zum Uberwachen eines Bewegungsablaufs eines definierten Punktes im kartesi- 
schen Raum ist vorgesehen, dass Lage-lstwert-SignaJe von Antriebseinheiten erfasst werden, dass aus den Lage- 
Istwert-Signalen durch eine Transformationsoperation kartesische Koordinaten des Punktes berechnet werden. und 
dass die berechneten kartesischen Koordinaten mit abgespeicherten Werten und/oder Wertebereichen verglichen wer- 
den, um ein Signal zum Stillsetzen der Einrichtung zu erzeugen, wenn die transformierten kartesischen Koordinaten 
den Wert und/oder Wertebereich uberschreiten. 

[0010] Bei einer bevorzugten Verfahrensweise erfolgt eine Uberprufung auf sicher reduzierte Geschwindigkeit be- 
zogen auf den handhabungsgeratespezifischen Punkt, wobei ein Differenzvektor durch Subtraktion eines ersten kar- 
tesischen Koordinatensatzes in einem ersten Abtastzeitpunkt von einem zweiten kartesischen Koordinatensatz in ei- 
nem zweiten Abtastzeitpunkt errechnet wird, wobei eine kartesische Geschwindigkeit des Punktes uber eine Zeitdif- 
ferenz zwischen dem ersten und zweiten Abtastzeitpunkt ermittelt wird und wobei ein Signal zum Stillsetzen der An- 
triebseinheiten dann erzeugt wird, wenn die errechnete Geschwindigkeit eine vorgegebene maximale Geschwindigkeit 
ubersteigt. 

[001 1] Bei einer weiteren bevorzugten Verfahrensweise erfolgt eine sogen. Bremsrampenuberwachung, wobei nach 
Auslosung eines Signals zum Stillsetzen der Einrichtung eine Anfangsgeschwindigkeit des Punktes ermittelt und ge- 
speichert wird, wobei nach einer Zeitspanne die aktuelle Geschwindigkeit ermittelt und mit der Anfangsgeschwindigkeit 
verglichen wird und wobei dann, wenn die aktuelle Geschwindigkeit nach der Zeitspanne gleich oder grofter der An- 
fangsgeschwindigkeit ist, ein Signal zum sofortigen Stillsetzen der Einrichtung erzeugt wird. 

[0012] Ein Uberwachungs- und Steuergerat zur Uberwachung einer zumindest eine portable und/oder mobile und/ 
oder immobile Einrichtung umfassenden technischen Anlage mit erhohten Sich erheitsanforderun gen, insbesondere 
eines in einer Schutzeinrichtung angeordneten Handhabungsgerates, mit zumindest einer vorzugsweise zentralen 
und/oder dezentralen Steuereinheit sowie mit dieser verbundenen Aktoren zur Ausfuhrung von gefahrbringenden Ak- 
tionen, wobei das Uberwachungs- und Steuergerat mit Sensoren und/oder Aktoren verbunden ist und deren Zustande 
auswertet, verarbeitet und steuert, zeichnet sich dadurch aus, dass die Steuereinheit uber zumindest eine Datenver- 
bindung mit dem zumindest einen Aktor und/oder Sensor und dem Oberwachungs- und Steuergerat verbunden ist, 
dass das Uberwachungs- und Steuergerat in Abhangigkeit der Zustande der Sensoren und/oder Aktoren zumindest 
ein Freigabesignal an die Steuereinheit zur Ermdgiichung zumindest einer Aktion in der technischen Anlage ubertragt, 
dass das Freigabesignal eine Aktion auslost, die durch das Steuer- und Uberwachungsgerat durch Vergleich mit ge- 
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speicherten und/oder vorgegebenen Ausfuhrungs- und/oder Funktions- und/oder Plausibilitatsvorgaben bzw. Bewe- 
gungsablaufen uberwacht wird, und dass im Fehlerfall zumindest ein we iteres Signal erzeugtwird, durch das die Anlage 
in einen sicheren Zustand uberfuhrt wird. 

[0013] Das Oberwachungs- und Steuergerat ist derart ausgebildet, dass es zusatzlich in handelsiibliche zentrale 
5 und/oder dezentrale numerische Steuerungen integriert werden kann, urn gefahrbringende Aktionen einer technischen 
Anlage, insbesondere dreidimensionale gefahrbringende Bewegungen sicherheits- bzw. person enschutzgerichtet zu 
uberwachen. Bei fehlerhafter Ausfuhrung der Aktionen wird ein Signal zum Oberfuhren der Anlage in den sicheren 
Zustand erzeugt. 

[0014] Das Oberwachungs- und Steuergerat weist Eingangs- und Ausgangsebenen auf, an denen die Sensoren 
10 und/oder Aktoren angeschlossen sind. Zusatzlich sind Schnittstellen vorgesehen, urn das Oberwachungs- und Steu- 
ergerat mit der vorhandenen zentralen Steuereinheit gegebenenfalls uber einen Bus zu verbinden. 
[001 5] In einer bevorzugten Ausfiihrungsform ist das Oberwachungs- und Steueaingsgerat mit einer Robotersteue- 
rung verbunden. Dabei ist vorgesehen, dass der zumindest eine Aktor und/oder der zumindest eine Sensor als eine 
die technische Anlage in den sicheren Zustand uberfuhrende Sicherheitseinrichtung ausgebildet ist. Insbesondere ist 
15 der Aktor als Antriebseinheit mit zugehoriger Antriebssteuerung oder als ein die technische Anlage bzw. die Antriebs- 
steuerung mit Energie verbindendes Leistungsschutz ausgebildet. 

[0016] Wenn sich samtliche Aktoren und/oder Sensoren in einem den sichemeitstechnischen Anforderungen ent- 
sprechenden Zustand befinden, wird durch das Freigabesignal des Oberwachungs- und Steuergerates eine Aktion 
wie z. B. ein Bewegungsablauf ausgelost, der durch das Steuer- und Oberwachungsgerat bevorzugt durch Vergleich 
20 mit gespeicherten und/oder vorgegebenen Werten wie Ausfuhrungs- und/oder Funktions- und/oder Plausibilitatsvor- 
gaben bzw. Bewegungsablaufen uberwacht wird. 

[0017] Ferner sind insbesondere die Steuereinheit und das Oberwachungs- und Steuergerat physisch als separate 
Einrichtungen ausgebildet. 

[0018] Zur sicheren Oberwachung der Bewegungsablaufe ist erfindungsgemaft vorgesehen, dass von der Steuer- 
25 einheit fortlaufend oder einmalig ein Lage-Sollwert-Signal an die zumindest eine angeschlossene Antriebssteuerung 
und/oder an das Oberwachungs- und Steuergerat und von der zumindest einen Antriebssteuerung Lage-lstwert-Si- 
gnale zumindest an die Steuereinheit, vorzugsweise sowohl an die Steuereinheit als auch an das Oberwachungs- und 
Steuergerat ubertragen werden, dass die Lage-lstwert-Signale jeder Antriebssteuerung mit in dem Oberwachungs- 
und Steuergerat abgespeicherten und von der Steuereinheit ubertragenen antriebsspezifischen Werten und/oder Wer- 
30 tebereichen verglichen werden und dass bei Vertassen des jeweiligen Wertes und/oder Wertebereiches das weitere 
Signal erzeugt wird. 

[0019] Urn eine mdglichst hohe Fehlersicherheit zu erreichen, weisen die Antriebssteuerung en und das Uberwa- 
chungs- und Steuergerat jewei Is zumindest zwei Kanale auf, wobei die Kanale uber die Busleitung CAN_A und eine 
weitere Busleitung CAN_B mrteinander verbunden sind, wobei uber die Busleitung CAN_A Steuersignale und/oder 

35 Istwert-lnformationen und uber die Busleitung CAN_B Istwert- Information en ubertragen werden, die redundant anlie- 
gen. Zur Auswertung elektromechanischer Sicherheitsschalter oder ahnlicher Sensoren und zur Ansteuerung extemer 
Schaltgerate oder Aktoren weist das Oberwachungs- und Steuergerat eine zweikanalige Ausgangs- und Eingangs- 
ebene auf, wobei zumindest zwei weitere Busanschlusse vorgesehen sind, urn das Oberwachungs- und Steuergerat 
mit einem ubergeordneten Sicherheitsbus verbinden zu konnen. 

40 [0020] Bei einer bevorzugten Ausfiihrungsform sind die von den Antriebssteuerungen ubertragenen Lage-lstwerte 
mit einem Identifier deklariert, wobei beim Empfang dieser Identifier in jedem Mikrocontroller des Oberwachungs- und 
Steuergerates ein Interrupt ausgelost wird und die Lage-lstwerte innerhalb eines Zeitintervalls gelesen werden. Auch 
ist jedem Wert und/oder Wertebereich zumindest ein sichemeitsgerichteter Ausgang und/oder Eingang des Oberwa- 
chungs- und Steuergerates zugeordnet, wobei die Ausgange und/oder Eingange mit passiven und/oder aktiven Schal- 

45 telementen wie elektromechanischen Sicherheitsschaltern und/oder Leistungsschutzen und Relais verknupft sind. 
[0021] Zur Ausfuhrung von Service-Arbeiten und zur Initialisierung der technischen Anlage ist vorgesehen, dass die 
zentrale Steuereinheit Lage-Sollwert-lnformationen zum Anfahren definierter Positionen wie SAFE-Position, SYNC-Po- 
sition an die Antriebseinheiten und das Oberwachungs- und Steuergerat ubertragt, wobei den definierten Positionen 
antriebsspezifische Werte zugeordnet sind, die zu dem Obertragungs- und Steuergerat ubertragen und mit den ermit- 

50 telten Lage-lstwerten der Antriebseinheiten verglichen werden. 

[0022] Erfindungsgemafi weist die technische Anlage keine Hardware-Endschalter wie Nocken auf, sondern es sind 
achsspezifische "elektronische Nocken" definiert. Insbesondere sind bezuglich einer Antriebseinheit bzw. einer An- 
triebsachse eine Vielzahl von Wertebereichen definiert, wobei diese antriebsspezifisch von dem Oberwachungs- und 
Steuergerat uberwacht werden, wobei jedem Wert und/oder Wertebereich ein oder mehrere Ausgange des Oberwa- 

55 chungsund Steuergerates zugeordnet sind. Die Werte und/oder Wertebereiche konnen achsspezifisch programmiert 
werden. Beim Oberschrerten eines Lage-Wertebereiches werden ein oder mehrere Ausgange des Oberwachungs- 
und Steuergerates gesetzt, so dass die technische Anlage abgeschaltet werden kann. 

[0023] Bei einem Verfahren zum sicherheitsgerichteten Oberwachen zumindest einer Achse einer Antriebseinheit 
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wird das Problem verfahrensmafJig dadurch gelost, dass ein Lage-Istwertsignal der zumindest einen Achse erfasst 
und ausgewertet wird, wobei das Lage-Istwertsignal aus zwei zueinander phasenverschobenen periodischen Signaler* 
gebildet wird, wobei die Summe der Potenzen der jeweiligen Amplitude der Signale gebildet und mit einem in einem 
Wertebereich liegenden Wert verglichen wird und wobei ein Fehlersignal erzeugt wird, wenn die Summe nicht innerhalb 

5 des vorgegebenen Wertebereichs liegt. 

[0024] Bei einem Verfahren mit emohter Sicherheit ist vorgesehen, dass das Lage-Istwertsignal derzumindest einen 
Achse einkanalig erfasst und zweikanalig ausgewertet wird. wobei das Lage-Istwertsignal aus den zwei zueinander 
phasenverschobenen periodischen Signalen gebildet wird, dass in jedem Kanal die Summe der Amplitudenquadrate 
gebildet und mit einem konstanten Wert oder einem in dem Wertebereich liegenden Wert verglichen wird, dass ein 

10 Fehlersignal erzeugt wird, wenn die Summe nicht dem vorgegebenen Wert entspricht bzw. nicht innerhalb des Wer- 
tebereichs ist, und dass das Lage-Istwertsignal dem weiteren zweikanaligen Uberwachungs- und Steuergerat zuge- 
fuhrt wird, das die in jedem Kanal der Antriebssteuerung gebildeten Summen der Amplitudenquadrate miteinander 
und /oder mit dem konstanten Wert bzw. in dem Wertebereich liegenden Wert vergleicht. 

[0025] Vorzugsweise setzt sich das Lage-Istwertsignal aus einem sin- und einem cos-Signal zusammen, wobei in 
15 jedem Kanal eine Plausibilitatsprufung der Istwert-Signale durchgefuhrt wird, wobei gepruft wird, ob die Summe der 
Quadrate der Ausgangsamplituden in jedem Abtastzeitpunkt einem vorgegebenen Wert x entspricht mit x im Bereich 
0,9 < x < 1,1, vorzugsweise x = 1 = (sin <p) 2 + (cos <p) 2 . 

[0026] Als fehlervermeidende und/oder fehlerbeherrschende Maftnahme ist vorgesehen, dass ein richtungsabhan- 
giges Signal eines Drehzahl- bzw. Lage-Sollwertes erzeugt und mit einem richtungsabhangigen Signal des Drehzahl- 
20 bzw. Lage-lstwertes ein- oder zweikanalig verglichen wird und dass die ein- oder zweikanalig erzeugten Werte dem 
Uberwachungs- und Steuergerat zugefuhrt und dort miteinander verglichen werden. 

[0027] Des Weiteren ist vorgesehen, dass zwischen den Kanalen, vorzugsweise zwischen den Mikrocomputern ein 
intemer Kreuzvergleich der erfassten Istwerte durchgefuhrt wird und dass im Fehlerfall eine Impulssperre erzeugt wird. 
[0028] Bei fehlender ublicher Energieversorgung fur die Antriebseinheiten (Power-Down-Modus) wird eine Still- 
25 standsuberwachung durchgefuhrt, wobei in jedem Kanal die Istwerte uberwacht werden und bei Veranderung der 
Istwerte uber eine eingestellte Toleranzgrenze hinaus ein "Marker" gesetzt wird, der nach dem Wiedereinschalten der 
ublichen Energieversorgung in das Uberwachungs- und Steuergerat ubertragen und mit abgespeicherten Sollwerten 
verglichen wird. 

[0029] Bet einer Anordnung zum sicherheitsgerichten Uberwachen einer von einer Antriebseinheit angetriebenen 
30 Achse einer technischen Anlage, umfassend einen mit der Achse gekoppelten Lage-lstwertgeber, der mit einer zwei- 
kanaligen Antriebssteuerung zur Auswertung verbunden ist, wird das Problem dadurch gelost, dass der Lage-lstwert- 
geber einkanalig ausgefuhrt ist und zumindest zwei Ausgange aufweist, an denen bei Drehung der Achse zwei zuein- 
ander phasenverschobene periodische Signale abgreifbar sind, dass die Ausgange mit jeweils einem Kanal der An- 
triebssteuerung verbunden sind und dass die einzelnen Kanale der Antriebssteuerung einerseits mit einer ubergeord- 
35 neten zentralen oder dezentralen Steuereinheit und andererseits mit einem zweikanaligen Uberwachungs- und Steu- 
ergerat zum Vergleich der empfangenen Istwert-Signale verbunden sind. 

[0030] Wenn die Antriebseinheit eines Antriebs eine Zeitwerterfassung nicht zulasst, ist vorgesehen, dass die mit 
dem Lage-lstwertgeber verbundene zweikanalige Antriebssteuerung als integraler Bestandteil des Uberwachungs- 
und Steuergerates oder als eigenstandige Einheit unabhangig von der Antriebseinheit diesem vorgelagert ist. In diesem 
40 Fall kann auch das Oberwachungsund Steuergerat die Antriebssteuerung zur Istwerterfassung aufweisen. Selbstver- 
standlich kann die Einrichtung zur Istwerterfassung auch als separate Einheit dem Uberwachungs- und Steuergerat 
vorgelagert sein. 

[0031] Vorteilhaft ist der Istwert-Geber als Resolver mit zwei analogen Ausgangen fur die Istwertsignale und einem 
Eingang fur ein Referenzsignal ausgebildet, wobei die Ausgange jeweils uber einen A/D-Wandler mit einem Kanal der 

45 Antriebssteuerung verbunden sind und wobei der Eingang fur das Referenzsignal mit einem Referenzgenerator ver- 
bunden ist, der seinerseits uber eine Kontrolleinheit mit der Steuereinheit eines Kanals verbunden ist. 
[0032] Zur Steuerung der Istwert-Erfassung ist der A/D-Wandler des zweiten Kanals uber einen ersten Anschluss 
mit einem Interrupt-Eingang des Signalprozessors verbunden, und der A/D-Wandler des ersten Kanals ist uber einen 
zweiten Anschluss mit einem Eingang eines Treiberbausteins verbunden, dessen Ausgang mit einer Interrupt-Steu- 

50 ereinheitdes Mi krocontrollers verbunden ist. Dabei wird die Zeit zwischen zwei empfangenen Interrupt-Signalen (EOC) 
gemessen und dann ein Stop-Signal ausgelost. wenn innerhalb einer Zeitspanne kein Interrupt-Signal (EOC) detektiert 
wird. Auch wird bei Abweichung der Referenzfrequenz von einem Frequenznormal eine Impulssperre erzeugt. 
[0033] Um den Fehler einer mechanischen Trennung bei einkanaliger Antriebs- und Geberwelle des Resolvers zu 
beherrschen ist vorgesehen, dass die Antriebseinheit als Zwischenkreis gespeistes elektrisches Antriebssystem, vor- 

55 zugsweise als AC-Servo-Motor realisiert ist. 

[0034] Bei einem Verfahren zur Steuerung und Oberwachung einer Bremseinrichtung mit einem Nennmoment 
(M NENN ), die einer Antriebseinheit einer technischen Anlage wie Handhabungsgerat zugeordnet ist, ist zur Ermogli- 
chung einer automatischen Uberwachung/Uberprufung vorgesehen, dass ein einem Haltemoment entsprechender 
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Haltestrom (l H ) der Antriebseinheit bei geoffneter Bremseinrichtung gemessen und gespeichert wird, dass die Antriebs- 
einheit bei geschlossener Bremseinrichtung mit einem achsspezifischen Stromwert (I T est) beaufschlagt wird, der die 
Bremseinrichtung mit einem Moment belastet, das gleich oder kleiner als das Nennmoment (M NENN ) der Bremsein- 
richtung ist und dass der Antrieb gleichzeitig auf Stillstand uberwacht wird. 

5 [0035] Durch das erfindungsgemafce Verfahren erfolgt eine automatische Oberwachung/Uberprufung der Bremsein- 
richtungen. Bei geschlossenen Bremseinrichtung en und Bestromung wird der Antrieb auf Stillstand uberwacht. Sobald 
sich eine Achse bzw. ein Antrieb bewegt, wird uber die Stillstandsuberwachung ein Fehlersignal erzeugt, das auf den 
Defekt einer Bremseinrichtung hinweist. Insbesondere besteht die Moglichkeit, samtliche Bremseinrichtungen eines 
Handhabungsgerates gleichzeitig zu uberwachen, indem alle Antriebe bei geschlossener Bremseinrichtung mit einem 

10 Stromwert beaufschlagt werden. 

[0036] Vorzugsweise ergibt sich der Stromwert (I TES t) aus dem gernessenen Haltestrom (l H ) und einem Offset-Strom 
(■offset) nach der Beziehung 

15 'TEST = ! H ± ^OFFSET 

mit 'offset = x ■ 'n 

mit 0,6 < x < 1 ,0, vorzugsweise x = 0,8 

mit l N einem Strom, der ein Nennmoment erzeugt, das dem maximalen Nennmoment der Bremseinrichtung ent- 
20 spricht. 

[0037] Handelt es sich bei der zu uberprufenden Achse bzw. dem zu uberprufenden Antrieb um eine schwerkrafi- 
belastete Achse, so wird die Bremseinrichtung aufgrund der Schwerkraft z. B. des Roboterarms mit einem bestimmten 
Moment belastet, das dem Haltemoment entspricht. Zum Testen der Trenneinrichtung wird der Antrieb mit einem Strom- 
25 wert beaufschlagt, der ein Moment erzeugt, das zusatzlich zu dem von der Schwerkraft erzeugten Moment in dessen 
Richtung wirkt. 

[0038] GemaG einer Weiterbjldung ist vorgesehen, dass der Stromwert I TES t in dem Antrieb ein Moment erzeugt, 
das 60 bis 90 % des Nennmomentes, vorzugsweise 80 % des Nennmomentes betragt. 

[0039] Ferner ist bei nicht-schwerkraftbelasteten Achsen vorgesehen, dass die Bremseinrichtung uber einen exter- 
30 nen Schaltkontaktlosbaristund uber eine externe Hilfsenergieangesteuert wird. Diese Betriebsartwird nurin Notfallen 
angewendet. Dabei kann die ubergeordnete Robotersteuerung und/oder das Uberwachungsgeratausgeschaltet sein. 
In diesem Zustand kann die Robotermechanik manueil bewegt werden, zum Beispiel zum Befreien einer eingeklemm- 
ten Person. 

[0040] Zur Behebung von Produktionsstorungen ist vorgesehen, dass bei einer individuellen Losung der Bremsein- 
35 richtungen einer Gruppe von nicht oder im wesentlichen nicht durch Schwerkraft belasteten Achsen wie Kopfachsen, 
verbleibende durch Schwerkraft belastete Achsen auf Stillstand uberwacht werden. Diese Betriebsart ist dann von 
Vorteil, wenn ein Schweifcroboter zum Beispiel nach einer Stromquellenstorung mit festgebranntem Schweifldraht an 
einer schwer zuganglichen Stelle des Werkstucks festklemmt. Fur diesen Fall kann an einer Gruppe von Achsen ohne 
Schwerkraftbelastung die Bremseinrichtung geluftet werden, um die Achsen sodann manueil in eine ubersichtliche 
40 Position zu bewegen. 

[0041] Bei einer bevorzugten Verfahrensweise wird eine Spannungsversorgung fur die Bremseinrichtungen uber ein 
externes Steuer- und Uberwachungsgerat zugeschaltet, wobei eine mit der Bremseinrichtung verbundene Antriebs- 
steuerung ein Signal, erzeugt, mit dem die Bremseinrichtung einer Achse geoffhet bzw. geluftet wird. Neben einer 
erhohten Sicherheit wird dadurch auch die Flexibilitat bei einer Vlelzahl von angeschlossenen Motoren bzw. Bremsen 
45 erhoht. 

[0042] Die Erfindung bezieht sich des Weiteren auf ein Verfahren zur Oberwachung der Geschwindigkeit eines im 
Raum bewegbaren geratespezifischen Punktes einer technischen Anlage, insbesondere eines Handhabungsgerates. 
[0043] Weiterbildungen ergeben sich aus den Unteranspruchen, denen zumindest zum Teil eigenerfinderische Aus- 
gestaltungen der Erfindungen zu entnehmen sind. 
50 [0044] Weitere Einzelheiten, Vorteile und Merkmale der Erfindung ergeben sich nicht nur aus den Anspruchen, den 
diesen zu entnehmenden Merkmalen - fur sich und/oder in Kombination -, sondem auch aus der nachfolgenden Be- 
schreibung von den Figuren zu entnehmenden Ausfuhrungsbeispielen. 
[0045] Es zeigen: 

55 Fig. 1 eine schematische Darstellung einer technischen Anlage, umfassend ein in einem Schutzraum angeord- 

netes Handhabungsgerat,. 

Rg. 2 ein Blockschaltbild eines Steuerungsystems zur Steuerung und/oder Regelung des Handhabungsgerates, 
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Fig. 3 ein Blockschaltbild eines Uberwachungs- und Steuergerates, 

Fig. 4 ein Blockschaltbild zur Ansteuerung einer Leistungsebene, 

5 Fig. 5 ein Blockschaltbild einer Antriebssteuerung, 

Fig. 6-9 prinzipielle Schaltungsaufbauten der in einem Programmierhandgerat implizierten Sicherheitsschaltele- 
mente, 

ein Ablaufdiagramm der Funktion "SAFE POSITION", 
ein Ablaufdiagramm der Funktion "SYNCHRON POSITION", 

eine prinzipielle Darstellung von achsspezifisch, programmierbaren "elektronischen Nocken", 

eine prinzipielle Darstellung eines kartesischen Nockens, 

ein Ablaufdiagramm zur Uberwachung achsspezifischer elektronischer Nocken, 

ein Ablaufdiagramm zur Uberwachung eines kartesischen Nockens, 

ein Drehzahldiagramm zur Darstellung der Funktion "Bremsrampenuberwachung", 

ein Impulsdiagramm zur Erlauterung der Freigabe der Funktion "sicher reduzierte Geschwindigkeit", 

ein Ablaufdiagramm zur Erlauterung der Funktion "sicher reduzierte Geschwindigkeit", 

ein Impulsdiagramm zur Erlauterung der Funktion "TIPPBETRIEB". 

ein Impulsdiagramm zur Erlauterung der Funktion "PULSBETRIEB". 

ein Blockschaltbild zur Ansteuerung von Bremseinheiten, 

ein Ablaufdiagramm der Funktion "NOT-STOP-ROUTINE", 

ein Ablaufdiagramm der Funktion "POWER DOWN MODE" und 

ein Blockschaltbild von Hardware-Elementen, die bei Netzausfall aktiv sind. 

40 [0046] In Fig. 1 ist schematisch eine technische Anlage 10 mit erhohten Sicherheitsanforderungen dargestellt. In 
dem beschriebenen Ausfuhrungsbeispiel besteht die technische Anlage 10 aus einem Handhabungsgerat 12, das 
zusammen mit zwei Bestuckungsplatzen 16, 18, die Ober zugeordnete Schutzturen 20, 22 bestuckbarsind, innerhalb 
einer Sicherheitseinrichtung wie Schutzraum 14 angeordnet ist. Das Handhabungsgerat 12 wird im Folgenden als 
Roboter 12 bezeichnet. 

45 [0047] Der Roboter 12 ist in dem hier beschriebenen Ausfuhrungsbeispiel urn zumindest vier Achsen 23, 25, 27, 29 
drehbar, wobei jeder Achse 23, 25, 27, 29 ein Aktor 24, 26, 28, 30 zugeordnet ist, der im Ausfuhrungsbeispiel als 
Antriebseinheit 24, 26, 28, 30 bezeichnet ist. Selbstverstandlich kann der Aktor auch ein die Antriebseinheit 24, 26, 
28, 30 mit Energie versorgendes Leistungsschutz sein. Um den Roboter 1 2 zum Beispiel nach einem Spannungsausfall 
synchronisieren zu konnen, ist innerhalb des Schutzraumes 14 ein Synchronise tionspunkt bzw. Kontakt 32 angebracht. 

so [0048] Befindet sich der Roboter 12 in einer Stellung Ober dem Bestuckungsplatz 18, so kann die Schutztur 20 
geoffnet werden, um den Bestuckungsplatz 16 zu bestucken. Wahrend dieser Phase wird die Position des Roboters 
1 2 in einer im Folgenden beschriebenen Art und Weise uberwacht. Dabei sind Sensoren wie Schaltkontakte der Schutz- 
tur 20 mit Lage-lstwert-Signalen des Roboters 12 derart verknupft, dass dann, wenn der Roboter 12 seine Position 
Ober dem Bestuckungsplatz 18 in einem bestimmten vorgegebenen Sicherheitsbereich verlasst, eine Abschaltung 

55 erzeugt wird. 

[0049] In Fig. 2 ist ein Steuerungssystem 34 dargestellt, bestehend aus einer zentralen und/oder dezentralen Steu- 
ereinheit wie Robotersteuerung 36. den Antriebseinheiten 24 bis 30 sowie einem Uberwachungs- und Steuergerat 38, 
das im Folgenden Safety-Controller 38 genannt wird. Die Robotersteuerung 36 ist Ober ein Interface 40 mit einem 
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Programmierhandgerat 46 und uber eine Busleitung CAN_A mit den Antriebseinheiten 24 - 30 und dem Safet-Control- 
1 er 38 nach Art eines Strangs verbunden. Ferner ist der Safety-Controller 38 uber eine Verbindungsleitung 44 mit dem 
Programmierhandgerat 46 verbunden. Das Programmierhandgerat 46 kann auch zur Programmierung der Roboter- 
steuerung 36 verwendet werden, wozu das Interface 42 des Safety-Controllers 38 uber eine Busleitung CAN_C und 

5 das CAN-lnterface 40 mit der Robotersteuerung 36 verbunden ist. 

[0050] Die Antriebseinheiten 24 - 30 weisen einen gleichen Aufbau auf, der am Beispiel der Antriebseinheit 24 be- 
schrieben werden soil. Zur Erfassung von Lage-lstwert-Signalen weist die Antriebseinheit 24 einen Resolver 48 auf, 
der mit einer redundant aufgebauten Antriebssteuerung 50 verbunden ist. Die Antriebssteuerung 50 weist zwei Kanale 
bzw. Kreise 52, 54 auf, wobei jeder Kanal einen eigenen CAN-Controller 56, 58 beinhaltet. Die CAN-Controller 56 sind 

10 untereinander uber den betriebsmafcigen Bus CAN_A verbunden, der die Antriebssteuerung 50 einerseits mit der 
Robotersteuerung 36 und andererseits mit dem Safety-Controller 38 verbindet. Die CAN-Controller 58 sind unterein- 
ander uber einen weiteren Bus CAN_B verbunden, der die Controller 58 mit dem Safety-Controller 38 verbindet. Die 
Antriebseinheit 24 umfasst des Weiteren einen Motor, ein Leistungsteil, gegebenenfalls ein Getriebe und eine Brems- 
einheit (nicht dargestellt). 

15 [0051] Der Safety-Controller 38 ist ebenfalls zweikanalig aufgebaut und weist in jedem Kanal einen eigenstandigen 
Mikrocomputer58, 60 auf. Die Mikrocomputer 58, 60 sind jeweils uber einen CAN-Controller 62, 64 mit der Busleitung 
CAN_B oder der Busleitung CAN_A verbunden. Des Weiteren sind die Mikrocomputer 58, 60 mit einer Eingangs- 
Ausgangsebene 66 verbunden, um sichere Ein- und Ausgange zu schalten bzw. einzulesen. Sichere Ein- und Aus- 
gange der Ein-Ausgangsebene 66 sind z. B. mit Kontakten der Schutzturen 20, 22 des Schutzraumes 14 verbunden. 

20 Zum weiteren Datenaustausch konnen die Mikrocomputer 58, 60 uber weitere CAN-Controller 68, 70 und ein Interface 
72 mit einem ubergeordneten Sicherheitsbus gekoppelt werden. 

[0052] Die Robotersteuerung 36 ubernimmt die Aufgabe aller zentralen Regel- und Steuerungsaufgaben und unter- 
liegt keinen sicherheitstechnischen Betrachtungs weisen. Insbesondere ist die Robotersteuerung 36 physisch unab- 
hangig von dem Safety-Controller 38, so dass betriebsmafcige Ablaufe in separaten Geraten ablaufen. Es ist vorge- 

25 sehen, dass der Safety-Controller uber die Eingangs-/Ausgangsebene 66 mit den Sensoren bzw. Schaltkontakten der 
Schutzturen 20, 22 und uber die Busleitungen CAN_A und CAN_B mit den Aktoren bzw. Antriebseinheiten 24, 26, 28, 
30 verbunden ist, um deren Zustande auszuwerten, zu verarbeiten und zu steuern. In Abhangigkeit der Zustande der 
Schaltkontakte der Schutzturen 20, 22 und/oder der Antriebseinheiten 24, 26, 28, 30 ubertragt der Safety-Controller 
zumindest ein Freigabe-Signal an die Steueretnheit 36, so dass der Roboter 12 eine Aktion ausfuhren kann. Anschlie- 

30 Rend wird die Ausfuhrung der zumindest einen Aktion durch den Safety-Controller fortiaufend uberwacht. Im Fehlerfall 
wird zumindest ein weiteres Signal erzeugt, durch das die Anlage 10 in einen sicheren Zustand uberfuhrt wird. 
[0053] Bei dem weiteren Signal handelt es sich um eine "STOP - 1" -Funktion, d. h., dass durch das Signal ein 
gesteuertes Stillsetzen eingeleitet wird, wobei die Energiezufuhr zu den Antreibseinheiten beibehalten wird, um das 
Stillsetzen zu erzielen und die Energiezufuhr erst dann zu unterbrechen, wenn der Stillstand erreicht ist. 

35 [0054] In der Robotersteuerung 36 werden alle Lage-Sollwerte der jeweiligen Antriebseinheiten 24 - 30 berechnet 
und nacheinander bber den Bus CAN__A zu den Antriebseinheiten 24 - 30 ubertragen. Die Antriebseinheiten 24 - 30 
ubertragen jeweils einen Lage-istwert an die Robotersteuerung uber den Bus CAN_A zuruck, woraufhin in der Robo- 
tersteuerung 36 Werte wie Schlupf-, Schleppabstand und andere berechnet werden konnen. 

[0055] Zur Lage-lstwert-Erfassung ist der Resolver 48 vorgesehen, der direkt uber eine Motorwelle mit dem Motor 
^o mechanisch gekoppelt ist. Am Ausgang des Resolvers 48 liegen analoge Istwert-Signale an, die in der Antriebssteue- 
rung 50 digitalisiert werden. Der Resolver 48 liefert der Antriebssteuerung 50 Information en, welche zum achsspezi- 
fischen Ausregeln von Prozessen dienen. Insbesondere wird durch die Antriebssteuerung 50 eine Strornregelung fur 
das den Motor ansteuernde Leistungsteil erreicht. Die Istwert-lnfomnationen werden jedoch nicht nur uber den Bus 
CAN_A der Robotersteuerung 36, sondern auch uber die Busleitungen CAN_A und CAN_B redundant dem Safety-Con- 
45 troller 38 ubertragen, um dort uberwacht zu werden. 

[0056] In Fig. 3 ist ein detallierter Aufbau des Safety-Controllers 38 dargestellt. Der Safety-Controller 38 wird von 
einem extemen Netzgerat 74 mit Energie versorgt. Jedem Mikrocomputer 58, 60 ist ein eigenes Netzteil 76, 78 zuge- 
ordnet, das mit dem Netzgerat 74 verbunden ist. Die CAN-Controller 62, 64 sind uber Transceiver 80, 82 mit den 
Busleitungen CAN_A und CAN_B verbunden. Des Weiteren sind die Mikrocomputer 58, 60 uber die weiteren CAN-Con- 
50 troller 68, 70 und Transceiver 84, 86 mit einem ubergeordneten Sicherheitsbus verbunden. Das Interface 42 fur das 
Programmierhandgerat 46 ist uber den Bus CAN_C einerseits mit der Robotersteuerung 36 und andererseits mit dem 
Programmierhandgerat 46 verbunden, wobei der Bus CAN_C innerhalb des Safety-Controllers 38 physikalisch durch- 
geschleift ist. 

[0057] Die Mikrocomputer 58, 60 sind uber eine Verbindung 88 zum Datenaustausch miteinander verbunden. Auf 
55 diese Weise konnen die in den einzelnen Kanalen empfangenen ist-Werte miteinander verglichen werden. 

[0058] Alternate zu dem Programmierhandgerat 46 kann der Safety-Controller 38 und/oder das Steuergerat 36 auch 
uber ein Bedienfeld (nicht dargestellt) bedient werden, dessen Schnittstelle Bestandteil des Safety-Controllers 38 und 
mit zumindest einem der Mikrocomputer 58, 60 verbunden ist. 
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[0059] Die Ein-/Ausgabeeinheit 66 umfasst eine Ausgangsebene 92 und eine Eingangsebene 94. Die Ausgangs- 
ebene umfasst Schalttransistoren, die von den Mikrocomputern 58, 60 ansteuerbar sind. Die Eingangsebene 94 um- 
fasst Eingange, an denen Sicherheitsschaltgerate wie Not/Aus-Schalter oderandere Schaltkontakteanschlie&barsind. 
Ein Sicherheitsschaltgerat wird zwischen jeweiis einen Eingang des ersten und zweiten Mikrocomputers 58, 60 oder 
5 einen Ausgang des ersten und zweiten Mikrocomputers 58, 60 geschaltet. Die Eingange sind Leseeingange des je- 
weiligen Mikrocomputers 58, 60 und die Ausgange sind jeweiis Schreibausgange der Mikrocomputer 58. 60. An die 
Ausgangsebene 92 sind z. B. Aktoren wie Leistungsschutze zur Schaltung eines Freigabesignals anschlieftbar. Die 
Eingangsebene 94 ist zum Anschluss von Sensoren wie Schaltkontakten, Not-Aus-Schaltem, Naherungsschaltern u. 
a. vorgesehen. 

w [0060] Grundsatzlich erfolgt die Ansteuerung der technischen Anlage 1 2 mit zugehoriger Steuerung 36 und Antriebs- 
einheiten 24 - 30 uber Leistungsschutze bzw. Hauptschutze K1, K2, die unmittelbar mit einem Ausgang des Oberwa- 
chungs- und Steuergerates 38 verbunden sind. 

[0061] Alternativ kann die Ansteuerung auch gemafi der Anordnung in Fig. 4 erfolgen, wobei Ausgange des Uber- 
wachungs- und Steuergerates 38 eingespart werden konnen. 

15 [0062] In Fig. 4 ist ein Prinzipschaltbild zur Ansteuerung der Leistungseinheit der Antriebseinheiten 24 - 30 darge- 
stellt. Dabei sind UberwachungsschaltkontaktederSchutzturen 20, 22 mit einem Sicherheitsrelaisbaustein 96 verbun- 
den. Ausgange des Safety-Controllers 38 sind mit einem zweiten Sicherheitsrelaisbaustein 98 verbunden. Die Aus- 
gange der Sicherheitsrelaisbausteine sind miteinander gekoppelt und steuern Hauptschutze K1, K2 eines Leistungs- 
schalters 100. Uber die Hauptschutze K1, K2 wird die Antriebseinheit mit Energie versorgt. Die Ansteuerung der Haut- 

20 pschutze K1 , K2 erfolgt entweder uber den Safety-Controller 38, die Schutzturen 20, 22 oder einer Verknupfung beider 
Signale. 

[0063] Die Robotersteuerung 36 kann insgesamt 24 Antriebseinheiten ansteuem, wobei der Safety-Controller 38 in 
der Lage ist, diese Anzahl von Achsen zu uberwachen. 

[0064] Der Safety-Controller 38 erhalt die Lage-lstwerte der jeweiligen Antriebseinheiten 24 - 30 uber die Busse 
25 CAN_A und CAN_B. Beide Busse dienen der redundanten Lage-lstwerterfassung. Der Bus CAN_A stellt einen be- 
triebsmafiigen Bus fur die Robotersteuerung 36 dar, wobei der Bus CAN_B eine zusatzliche in das System integrierte 
Ubertragungstrecke darstellt. um Redundanz zu erreichen. Da es sich in diesem Fall um zwei unabhangige Ubertra- 
gungsmedien handelt, ist die Zweitfehlereintrittszeit ausschlaggebend fur die Aufdeckung von Hardware-Fehlern in 
einer der beiden Ubertragungsstrecken. Alle uber die Busse CAN_A oder CAN_B ubertragenen Nachrichten werden 
30 in den separaten CAN-Controllern 62, 64 aufbereitet und dem jeweiligen Mikrocomputer 58, 60 zur Verfugung gestellt. 
Die ubergeordneten Mikrocomputer 58, 60 sind ebenfalls entkoppelt. Hier handelt es sich somit um ein voliig redun- 
dantes System, was sowohl das Ubertragungsmedium als auch die Verarbeitung von empfangenen Nachrichten an- 
geht. 

[0065] Samtliche sicherheitsrelevanten Signale werden auf die Eingange der Eingangsebene 94 gelegt. Auf diese 
35 Weise ubernimmt der Safety-Controller 38 neben Uberwachungsaufgaben auch die Auswertung von Sensoren wie 
elektromechanischer Sicherheitsschalter. Uber die Ausgangsebene 92 konnen Aktoren wie externe elektromechani- 
sche Relaiskombinationen angesteuert werden, welche dann mit externen Signalen, zum Beispiel Schutztur-Signalen 
verknupft werden konnen oder die Ausgange des Safety-Controllers 38 werden direkt mit den Leitungsschutzen K1, 
K2 verbunden. 

40 [0066] In Fig. 5 ist ein Blockschaltbild der Antriebssteuerung 50 mit Resolver 48 dargestellt. Die Antriebssteuerung 
50 besteht aus den redundanten Kreisen 52 und 54. Der Kreis 52 weist einen Mikrocomputer 1 02 auf, der den CAN-Con- 
troller 56 als integral en Bestandteil und Chip autweist. Uber einen Transceiver 104 ist der CAN-Cont roller 56 mit dem 
Bus CAN_A, bestehend aus den Datenleitungen CAN_A_H und CAN_A_L verbunden. Des Weiteren enthalt der Mi- 
krocomputer 102 ein internes SRAM 106, eine lO-Steuerung 108 sowie eine I R- Verarbeitung 110 und ist uber einen 

45 Bus 112 mit einem Analog-Digitalwandler verbunden. Ein Ausgang 116 des Analog-Digitalwandlers 14 ist einerseits 
direkt mit dem Mikrocomputer 102 und andererseits uber einen Teiler 117 mit dem Mikrocomputer 102 verbunden. 
[0067] Der zweite Kanal 54 weist einen ersten Signalprozessor 120 mit einem internen SRAM-Speicher sowie einer 
internen IR-Verarbeitung 124 auf. Der erste Signalprozessor 120 ist uber ein DPRAM 126 mit einem zweiten Signal- 
prozessor 128 verbunden. Dieser wiederum ist uber ein DPRAM 130 mit dem Mikrocomputer 102 gekoppelt. Der 

50 Signalprozessor 128 ist mit einer Ansteuerung 132 verbunden, die den CAN-Controller 58 steuert. Der CAN-Controller 
58 ist uber einen Transceiver 134 mit dem Bus CAN_B verbunden, der die Leitungen CAN_B_H und CAN_B_L umfasst. 
[0068] Uber einen Bus ist der Signalprozessor 120 einerseits mit einem Analog-Digitalwandler 136 und andererseits 
mit einem Steuerwerk 138 verbunden, in dem ein Timer, ein Zahlwerk und ein Zustandsgenerator enthalten sind. Das 
Steuerwerk 138 ist des Weiteren uber einen Bus mit dem Mikrocomputer 102 verbunden. Auch ist das Steuerwerk 138 

55 Qber einen Bus mit einem Frequenzgenerator 140 verbunden, der ein Referenzsignal fur den Resolver 48 erzeugt. 
Dafur ist ein Ausgang des Frequenzgenerators 140 mit einem' Eingang 142 des Resolvers verbunden. Schlieftlich 
weist das Steuerwerk 138 einen weiteren Ausgang auf, an dem ein Signal SOC (start of convention) anliegt. Dieser 
Ausgang ist mit einem Eingang der Analog-Digitalwandler 114, 136 verbunden. 
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[0069] Der Resolver weist einen ersten Ausgang 144 auf, an dem ein Sinus-Signal abgreifbar ist. Der erste Ausgang 
144 ist Qber einen Verstarker jeweils mit einem Eingang der Analog-Digitalwandler 114, 136 verbunden. Ferner weist 
der Resolver einen zweiten Ausgang 146 auf, an dem ein Cosinus-Signal abgreifbar ist Der zweite Ausgang 146 ist 
uber einen Verstarker jeweils mit einem Eingang der Analog-Digitalwandler 114, 136 verbunden. Der Resolver 48 ist 

5 Qber eine Welle 148 und einem Motor 150 gekoppelt. Dabei ist der Resolver 48 synchron zu Motorphasen justiert. 
[0070] Mit Bezug zu Fig. 2 ist anzumerken, dass die Antriebssteuerung 50 eine eigenstandige Einheit darstellt, wobei 
der Safety-Controller 38 keineriei Einfluss auf die Antriebssteuerung 50 ausubt. Detektiert die Antriebssteuerung 50 
einen Fehler, so wird diese Meldung direkt an den Safety-Controller 38 gemeldet Oder in der Antriebssteuerung 50 
wird eine Impulssperre aktiviert, d. h. das Senden von Istwert-lnformationen wird eingestellt. Da der Safety-Controller 

10 38 eine Zeiterwartungsschaltung gegenuber den Istwert-Signalen hat, fuhrt das Fehlen dieser Istwert-Signale dazu, 
dass die Hauptschutze K1 und K2 durch den Safety-Controller 38 abgeschaltet werden, wodurch die Anlage in einen 
sicheren Zustand uberfuhrt wird. 

[0071] Die Istwert-Generierung erfolgt, indem dem Resolver 48 uber den Eingang 142 ein Referenzsiginal zugefuhrt 
wird. Das Referenzsignal wird in dem Referenzfrequenzgenerator 140 erzeugt, der vom Steuerwerk 138 angesteuert 

15 . wird. In dem Steuerwerk 138 ist ein zentraler Timer integriert, der Impulse fur eine Zahlstufe und einen damit verbun- 
denen Zustandsgenerator erzeugt. Im Scheitelpunkt der Referenzspannung liegt das Signal SOC (start of convention) 
' fur die Analog-Digitalwandler 114, 136 an. Neben einer Spule, der das Referenzsignal zugefuhrt wird, weist der Re- 
solver 48 zwei weitere Spulen auf, die vorzugsweise mit der Motorwelle gekoppelt sind und an denen eine Sinus- und 
Cosinus-Spannung abgreifbar ist. 

20 [0072] Der Referenzspule wird das Referenzsignal vorgegeben, welches induktiv auf die Sinus- und Cosinus-Spule 
gekoppelt wird. Je nach Lage der Sinus-/Cosinus-Spule erhalt man ein Sinus/Cosinus-Signal an den Ausgangen 144, 
146 mit konstanter Amplitude und Frequenz. Je nach Lage des Rotors resultiert eine Phasenverschiebung (0 ... 360°) 
zwischen dem Referenzsignal und den Sinus- bzw. Cosinus-Signalen. Im Scheitelpunkt des Referenzsignals bzw. der 
Referenzspannung werden die Sinus- und Cosinus-Signale abgetastet und aus dem Verhaltnis der beiden Amplituden 

25 wird eine Ist-Position innerhalb einer Resolverumdrehung berechnet. Ein Rotationswinkel <p von 0 bis 360° entspricht 
bei einer Auflosung von 12 Bit einem Istwert von 0 bis 4096 Inkrementen . Der Resolver 48 muss synchron zu der 
Motorphase justiert werden, um ein maximales Drehmoment zu liefern. Das heifit, der Phasenwinkel q> = 0 ist einzu- 
stellen. Beim Grofierwerden des Phasenwinkels nimmt das Drehmoment des Motors stetig ab und ist bei q> = +90° 
und <p = -90° genau Null. Ubersteigt der Phasenwinkel <p = ± 90 9 , entsteht eine Umpolung der Wirkrichtung, d. h. eine 

30 positive Drehzahlvorgabe bewirkt, dass der Motor in negative Richtung dreht. Dadurch wurde der Regelkreis in einen 
instabilen Zustand kippen, und der Motor ware nicht mehr regelbar. 

[0073] Um eine solche Umpolung der Wirkrichtung zu erkennen, ist in der Motorsteuerung eine Drehzahlplausibili- 
tatsprufung vorgesehen. Dabei wird das Vorzeichen des Drehzahl- bzw. Lage-Sollwertes standig mit dem Vorzeichen 
des Drehzahl- bzw. Lage-lstwertes verglichen. Sind beide Vorzeichen uber eine definierte Zeitdauer kpntrar, so kann 
35 davon ausgegangen werden, dass eine Umkehr der Wirkrichtung vorliegt. Das Beobachten uber eine definierte Zeit- 
dauer ist notwendig, um zu verhindern, dass bei betriebsmafiigen Regelschwingungen die Uberwachung nicht an- 
spricht. 

[0074] Die an den Ausgangen 144, 148 des Resolvers 48 anliegenden Sinus- bzw. Cosinus-Signale werden den 
Analog-Digitalwandlern 140, 1 36 zugefuhrt. Nach erfolgter Wandlung liefert der Analog-Digitalwandler 1 36 ein Signal 

40 EOC (end of conversion), wodurch der Betriebssystemzyklus des Signalprozessors 120 angestofien wird. Nur dann, 
wenn der Betriebssystemzyklus ordnungsgemall ablauft, werden die entsprechenden Lage-lstwerte uber das DPRAM 
126 an den Signalprozessor 128 weitergeleitet, der diese uber die Ansteuerung 132, den CAN-Controller 38 und den 
Transceiver 1 34 auf den Bus CAN_B ubertragt, uber den die Ist-Werte zu dem Safety-Controller 38 ubertragen werden. 
Sollte der Betriebssystemzyklus nicht ordnungsgemafc angestofien werden, wird ein Signal "STOP- 0", d. h. sicherer 

45 Betriebshalt, uber den Bus CAN_B an den Safety-Controller 38 gesendet. Die Fehlermeldung "STOP - 0" bewirkt ein 
Stillsetzen der Anlage durch ein sofortiges Ausschalten der Energiezufuhr zu den Antriebseinheiten, was auch als 
ungesteuertes Stillsetzen bezeichnet wird. 

[0075] Der AD-Wandler 114 liefert nach erfolgreicher Wandlung der Eingangssignale ein Signal EOC (end of con- 
version), welches uber den Timer 118 in einen Interrupt-Eingang des Mikrocomputers 102 geleitet wird. Intern wird die 
50 Zeit zwischen zwei eingetroffenen EOC-lnterrupts gemessen, um eine Abweichung der Referenzfrequenz vom Fre- 
quenznormal, vorzugsweise 7,5 kH, Oder ein volliges Ausbleiben der Referenzfrequenz, z. B. beim Ausfall deszentralen 
Timers festzustellen. In diesem Fall wird eine Impulssperre aktiviert und es erfolgt ein Signal "STOP - 0" uber den Bus 
CAN_A an den Safety-Controller 38. 

[0076] Sobald der Signalprozessor 122 das Signal EOC erhalt, wird ein intemer Timer angestofcen, der in einem 
55 zyklischen Verwaltungsteil des Betriebssystems dekrementiert wird und dann anspricht, wenn der Zahlerstand den 
Wert Null erreicht, d. h. wenn das Signal EOC ausfallt. Auch in diesem Fall wird die Impulssperre aktiviert. Durch die 
Impulssperre wird der Motor "momentenfrei" geschaltet. Bei Ansprechen des Watchdogs wird ein Hardware-Test aus- 
gelost und der Safety-Controller 38 uberfuhrt die Anlage 12 in einen sicheren Zustand. 
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[0077] Ferner sind eine Vielzahl von Maftnahmen zur Fehlererkennung und Fehlerbehandlung vorgesehen. Zur 
Uberprufung der Analog-Digitalwandler 114, 136, des Referenzfrequenzgenerators 140 sowie der Ausgange 144. 146 
des Resolvers 48 wird eine Plausibilitatsprufung durchgefuhrt. Die Plausibilitatsprufung erfolgt uber die beiden Ampli- 
tuden der Sinus-/Cosinus-Signale des Resolvers 48 in der Weise, dass die Summe der Amplitudenquadrate (sin <p ) 2 

5 + (cos <p ) 2 idealerweise die Summe x mit x im Bereich von 0,9 < x £ 1 ,1 vorzugsweise x = 1 ergibt. Um ein Ansprechen 
der Plausibilitatsprufung aufgrund von Storungen wie z. B. Rauschen auf den Signalleitungen zu unterdrucken, wird 
die Summe x mit einem definierten Toleranzfenster versehen. Voraussetzung fur die Plausibilitatsprufung ist die Nor- 
mierung der Sinus-/Cosinus-Signale, die einmal festgelegt und anschlieftend nicht mehr geandert werden. 
[0078] Bei nicht-plausiblen Amplituden fur Sinus- und Cosinus-Signale sendet jeder Kanal 52, 54 separat das Signal 

10 "STOP - 0" an den Safety-Controller 38. Die Istwert-Bildung und die Plausibilitatsprufung werden redundant in den 
Mikrocomputern 102, 120 ausgefuhrt, wobei der Mikrocomputer 102 mit einer reduzierten Erfassungsrate arbeitet. 
Eine Erfassung je 32 Perioden entspricht 32 x 132 \is = 4,2 ms (10 ms/U bei max. 6000 U/min). Der Mikrocomputer 
102 sendet seine Ist-Werte uber den Bus CAN_A, und der Mikrocomputer 120 sendet seine Ist-Werte uber den Si- 
gnalprozessor und den Bus CAN_B an den Safety-Controller 38, der als sicherer Vergleicher die empfangenen Werte 

15 pruft. Gleichzeitig fuhren die Mikrocomputer 102 und 120, 128 uber das DPRAM 130 einen internen Kreuzvergleich 
durch und reagieren im Fehlerfall durch Betatigen der Motorbremse und Aktivierung der Impulssperre und Absetzen 
des Sogals "STOP - 0" uber die Busse CAN_A und CAN B. Hier sei angemerkt, dass die Aktivierung der Impulssperre 
den Motor schneller stillsetzt als der Safety-Controller 38. 

[0079] Zur Uberwachung des statischen Versatzes zwischen Geber und Motorwelle bzw. zur Uberprufung einer Fehl- 

20 justierung des Resolvers 48 sowie zur Uberprufung eines dynamisch unkontrollierten Schlupfes zwischen Resolver 
48 und Motorwelle 148 wird eine Drehzahl-Plausibilitatsprufung durchgefuhrt. Auch die Drehzahlplausibilitatsprufung 
erfolgt redundant in den Mikrocomputern 102, 120. Beide Mikrocomputer 1 02, 120 senden im Falle einer ansprechen- 
den Uberwachung unabhangig voneinander das Signal "STOP - 0" uber die Busse CAN_A bzw. CAN_B an den Safe- 
ty-Controller 38. Die Drehzahl-Plausibilitatsprufung kann nur ordnungsgemafc arbeiten, wenn die Lage- und Drehzahl- 

25 regelung aktiv ist, d. h. im Normalbetrieb bei eingeschalteten Antrieben. 

[0080] In einem sogenannten "Power-Down-Modus", d. h. die Antriebe liegen nicht an Betriebsspannung, wird eine 
Stillstandsprufung von den Mikrocomputern 102, 120 durchgefuhrt, in dem die Istwerte der Antriebe erfasst werden. 
Erfolgt eine Veranderung der Istwerte uber eine eingestellte Toleranzgrenze hinaus, wird in den Mikrocomputern ein 
Merker "Maschine asynchron" gesetzt. Die beiden Asynchron-Merker werden nach dem Wiederanlauf an den Safe- 

30 ty-Controller 38 gesendet und dort verglichen. 

[0081] Des Weiteren erfolgt eine Drehzahl-Plausibilitatsprufung, um eine Umpolung der Wirkrichtung mit Antrieb zu 
erkennen. Da bei wird ein Vorzeichen des Drehzahl- bzw. Lage-Sollwertes standig mit einem Vorzeichen des Drehzahl- 
bzw. Lage-lstwertes verglichen. Sind beide Vorzeichen uber eine definierte Zeitdauer kontrar, so kann davon ausge- 
gangen werden, dass eine umgekehrte Wirkrichtung vorliegt. Das Beobachten uber eine definierte Zeitdauer ist not- 

35 wendig um zu verhindern, dass bei betriebsmaftigen Regelschwingungen, die Uberwachung anspricht. Die zulassige 
Regelschwingung muss definiert sein. 

[0082] Bei einem Phasenversatz zwischen Resolver 48 und Motorwelle 148, der kleiner ist als ± 90° sowie bei einem 
dynamisch unkontrollierten Schlupf des Resolvers auf der Motorwelle 148 spricht eine zweikanalige Schleppabstands- 
uberwachung in dem Signalprozessor 128 sowie dem Mikrocomputer 102 an. Zunachst wird eine Differenz zwischen 
40 Lage-lstwert und Lage-Sollwert (Regelabweichung) gebildet. Anschlieliend erfolgt eine Prufung, ob die ermittelte Re- 
gelabweichung innerhalb eines Toleranzbereichs liegt. Bei Uberschreiten des Toleranzbereichs fordert der Mikrocom- 
puter 102 und der Signalprozessor 128 das Signal "STOP - 0" vom Safety-Controller 38 an. Die Sch I eppstands prufung 
wird in jedem Lage-Regeltakt durchgefuhrt, der vorzugsweise 2 ms betragt. 

[0083] Des Weiteren erfolgen interne Fehleraufdeckungsmechanismen in dem Mikrocomputer 102 sowie dem Mi- 
45 krocomputer 120. Das Signal EOC des AD-Wandlers 114 wird dem Mikrocomputer 102 uber zwei Interrupt-Eingange 
152, 154 gesendet.. Dem Eingang 152 wird das Signal EOC unmittelbar zugefuhrt, wobei der Eingang 154 das Signal 
EOC erhalt, nachdem es den programmierbaren Teller 118, vorzugweise mit einem Teilerverhaltnis 1 : 32 durchlaufen 
hat. Im Normalbetrieb ist nur der Eingang 154 aktiv. Im "Power Down-Modus" ist nur der Interrupt-Eingang 152 aktiv, 
da der Teilerbaustein 118 im "Power-Down-Modus" spannungslos ist. Im Normalbetrieb ist die Zeit zwischen zwei 
50 Betriebssystem-Durchlaufen vorzugsweise 2 ms, kleiner als die Zeit zwischen zwei Signalen EOC, vorzugsweise 4 
ms. Liegt ein Signal EOC am Interrupt-Eingang 154 an, wird eine Interrupt-Routine angesprungen, in welcher folgende 
Aktionen ausgefuhrt werden: Zunachst wird ein Interrupt- Merker gesetzt, dann wird ein Zahler (Wertebereich 0...2000 
ms) ausgelesen und abgelegt und anschlieftend wird der uber den Bus 112 zugefuhrte Digitalwert gelesen und abge- 
speichert. Das Betriebssystem testet in jedem Durchlauf den Interrupt-Merker um zu prufen, ob zuvor ein Interrupt 
55 aufgetreten ist. Ist kein Interrupt aufgetreten, wird ledigiich ein Betriebssystemzykius-Zahler inkrementiert. Ist hingegen 
ein Interrupt aufgetreten, wird aus der Differenz Timer-Zahler (aktuell) minus Tlmer-Zahler (Vorganger) und aus der 
Anzahl der Betriebssystemzyklen die genaue Zeit zwischen zwei Signalen EOC und somit die Frequenz bestimmt. 
Weitemin wird der abgelegte konvertierte Digitalwert verarbeitet und der Betriebssystem-Zyklus-Zahler sowie der In- 
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terrupt-Merker auf Null gesetzt. Wlrd nach einer definierten Zahl von Betriebssystem-Durchlaufen kein Interrupt regi- 
striert, wird davon ausgegangen, dass ein Hardware-Fehler Im zentralen Timer 138 vorliegt. 

[0084] In dem Mikrocomputer 120 erfolgt keine Frequenzprufung des Signals EOC, sondem nur eine Prufung auf 
Vorhandensein des Signals EOC uber einen Software-Watchdog. Bei Eintreffen des Signals EOC an den Mikrocom- 

5 puter 120 erfolgt ein Interrupt, wodurch ein interner Timer aufgezogen wird, der in einem zyklischen Verwaltungsteil 
(Warten auf Interrupt) des Betriebssy stems dekrementiert wird und dann anspricht, wenn der Timer den Zustand Null 
aufweist, d. h., wenn das Signal EOC ausgefallen ist. In diesem Fall wird die Impulssperre aktiviert. 
[0085] Bei Aktivierung der Impulssperre wird ein Steuereingang eines IGBT-Leistungsteils zuruckgenommen, wo- 
durch der Antrieb "momentenfrei" wird. Fur diesen Steuereingang werden in einer Hardware die Ansteuersignale des 

10 Kanals 52 und des Kanals 54 miteinander verknupft. Wird ein Ansteuersignal eines Kanals 52, 54 zuruckgenommen, 
wird die Impulssperre an dem IGBT gesetzt. Die Ansteuerung der Impulssperre ist zweikanalig und wird erst nach der 
Verknupfung in der Hardware einkanalig. 

[0086] Zur Istwert-Aufnahme durch den Safety-Controller 38 ist Folgendes anzumerken. Als erster Kanal fur eine 
redundante Istwert-Aufnahme dient dem Safety-Controller 38 der betriebsmafcige Bus CAN_A. Auf diesem Bus werden 

15 neben den Istwert-Signalen auch betriebsmaftige Daten ubertragen. Die Ubertragungsgeschwindigkeit kann bis zu 1 
Mbit/s betragen. Da der Bus bis 92 % ausgelastet sein kann, erfolgt keine Sicherung der Datenbites auf einer hoheren 
Ebene. Der Safety-Controller 38 filtert sich aus den anstehenden Informationen die Istwert-Signale heraus. 
[0087] Der zweite Kanal ist ein zusatzlicher physikalisch getrennter Bus CAN_B. Seine Funktion ist es, die zweiten 
Kanale 54 der Antriebseinheiten zur Istwert-Erfassung mit dem zweiten Kanal des Safety-Controllers 38 zu verbinden. 

20 Die in dem Kanal 54 der Antriebssteuerung 50 generierten Daten werden unabhangig von Kanal 52 auf den Bus CAN_B 
gelegt Somit erfolgt eine redundante unabhangige Datenubertragung in den Safety-Controller 38. In dem Safety-Con- 
troller 38 werden die Daten mit getrennten Transceivern 80, 82 aufgenommen und mit getrennten CAN-Controllern 
62, 64 verarbeitet. 

[0088] - Liegt eine Nachricht an dem Transceiver 80, 82 an, wird diese dem CAN-Controller 62, 64 gemeldet. Der 
25 CAN-Controller 60, 64 entscheidet, ob diese Nachricht mit einem Identifier beginnt, welcher als Istwert-lnformation 
deklariert wurde. 1st dies der Fall, so lost dieser ein Interrupt in dem Mikrocomputer 58* 60 aus. Der Mikrocomputer 
58, 60 liest den CAN-Controller 62, 64 aus. Hat der Mikrocomputer 58, 60 alle Istwerte innerhalb einer definierten Zeit 
erhalten, laufen die Transformationsroutinen ab. Dieser Vorgang geschieht in beiden Mikrocomputem 58, 60 unab- 
hangig. 

30 [0089] Die Robotersteuerung 36 und/oder der Safety-Controller 38 werden uber das Programmierhandgerat 46 pro- 
grammiert. Das Programmierhandgerat 46 ist uber eine flexible Leitung 44 mit dem Safety-Controller 38 und dem Bus 
CAN_C verbunden, urn Programmierbefehle vom Programmierhandgerat 46 zu der Robotersteuerung 36 zu ubertra- 
gen. Diese Busleitung ist innerhalb des Safety-Controllers 38 durchgeschliffen und hat keine elektrische Verbindung 
mit den intemen Komponenten, wie z. B. den Mikrocomputem des Safety-Controllers 38. 

35 [0090] Neben den betriebsmaftigen Funktionstasten enthalt das Programmierhandgerat 46 sicherheitsgerichtete 
Schalter bzw. Taster wie Notaus-Schalter, Betriebsartenwahlschalter, Zustimmungstaster, Eintaster und Austaster. Die 
Ausfuhrung der sicherheitsrelevanten Schaltelemente des Programmiemandgerates 46 wird anhand der Fig. 6 bis 9 
erlautert 

[0091] Ein im Programmierhandgerat 46 integrierter Notaus-Schalter 156 (Fig. 6) wird auf Querschluss uberwacht, 
40 da die Zuleitung 44 starken Beanspruchungen unterworfen ist. Die Querschluss-Erkennung wird mit Hilfe von durch 

Schaltelemente 158, 160 erzeugte Impulse uber jeweils einen Kanal 162, 164 realisiert. Die Kanale bzw. Leitungen 

162, 164 sind uber die Schaltelemente 158, 160 mit einer extern en Versorgungspannung innerhalb des Programmier- 

handgerates 46 verbunden. Die Leitungen 162, 164 sind mit Eingangen 168, 170 des Safety-Controllers 38 verbunden. 

Die Schaltelemente erzeugen einen Takt zum Testen der Leitungen 162, 164 innerhalb von Halbleitergruppen in dem 
45 Safety-Controller 38. Dieser hat gegenuber dem erzeugten Takt eine Zeiterwartungshaltung. Wird ein Kanal 162, 164 

mit einem Takt beaufschlagt, werden alle weiteren Eingange 168, 170 auf Eingangs-Zustandsanderungen uberwacht. 

Die Freigabe eines Ausgangs wird erst erlaubt, nachdem das Programmierhandgerat 46 die jeweiligen Impulse uber 

die Notaus-Kanale 162, 164 gesendet hat und die Zeiterwartung gesetzt wurde. 

[0092] Des Weiteren weist das Programmierhandgerat 46 einen Betriebsartenwahlschalter 172 (Fig. 7) auf, der als 
50 Schlusselschalter ausgebildet ist. Das Programmierhandgerat erzeugt uber einen Taktgenerator 174 einen Takt, der 
sich von dem Takt der Notaus-Einrichtung unterscheidet. Die Stellung des Betriebsarten-Wahlschalters 172 wird einer 
Plausibilitatsprufung unterzogen. Der Betriebsartenwahlschalter weist in dem hier beschriebenen Ausfuhrungsbeispiel 
drei Schliefcerkontakte 176, 178, 180 auf, wobei ein SchlieRer des Betriebsartenwahlschalters 172 immer geschlossen 
sein muss und zwei SchlieBer immer im geoffneten Zustand bleiben mussen. Es wird nur eine Stellung des Betriebs- 
55 artenwahlschalters akzeptiert. Insgesamt konnen drei Funktionsarten eingestellt werden. Dabei ist die Funktionsart 
"AUTO" nur mit geschlossenem Schutzgitter (20, 22) moglich. Die Funktion "EINRICHTEN" wird auf sicher reduzierte 
Geschwindigkeit, wie nachfolgend erlautert. uberwacht und die Funktion "AUTO-TEST" kann nur mit Hilfe eines Zu- 
stimmungstasters 182 ausgefuhrt werden. 
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[0093] In Fig. 8 ist prinzipiell die Funktion des Zustimmungstasters 182 dargestellt. Der Zustimmungstaster ist uber 
einen Taktgenerator 184 mit der Versorgungsspannung 166 verbunden. Ein Eingang 186 des Safety-Controllers 38 
uberwacht den Takt des Taktgenerators 184. Der Zustimmungstaster ist als einkanaliger, dreistufiger Taster ausgefuhrt. 
Dabei wird nur die mittlere Stufe (EIN) ausgewertet. 

5 [0094] Die Antriebseinrichtungen werden durch einen handelsublichen, nicht sicherheitsgerichteten Taster 188 des 
Programmierhandgerates 46 eingeschaltet. Die Information wird uber den CAN_C in die Robotersteuerung 36 einge- 
lesen und uber den Bus CAN_A dem Safety-Controller 38 mitgeteilt. Die Funktion "ANTRIEB AUS" wird durch einen 
handelsublichen Taster mit Offnerfunktion ausgelost. Diese Funktion darf von beliebig vielen Stellen aus erfolgen. 
Diese Information wird in den Safety-Controller 38 eingelesen und uber den Bus CAN_A der Robotersteuerung mit- 

10 geteilt. 

[0095] Wie schon zuvor erwahnt, kann der Safety-Controller 38 und/oder die Robotersteuerung 36. uber das Pro- 
grammierhandgerat46 parametriert werden. In dem Programmierhandgerat ist eine Betriebs- bzw. Anwendersoftware 
enthalten. Nach der vollstandigen Parametrierung muss der Bediener einen Abnahmetest durchfiihren und sicher- 
heitsrelevante Funktionen testen. Sicherheitsrelevante, nicht veranderliche Daten, welche als Grund parametrierung 

15 geladen werden mussen, konnen mit Hilfe eines Personalcomputers uber eine serielle Schnittstelle geladen. Alle ge- 
ladenen Daten werden zwecks Bestatigung durch den Anwender in ein anderes Format und Darstellung vom Safe- 
ty-Controller 38 zum Personalcomputer zuruckgeschickt. Der Anwender muss die empfangenen Daten bestatigen. 
[0096] Nach dem Stand der Technik weisen Handhabungsgerate mechanische Nocken auf f die jeweilige Sicher- 
heitsbereiche absichern. Diese Nocken befinden sich entweder direkt auf den Roboterachsen oder falls es sich um 

20 Linearmotoren handelt, sind diese Nocken zum Beispiel als Endschalter am Ende einer Bahn ausgebildet. . 

[0097] Erfindungsgemafi ist vorgesehen, dass die Bewegungen des Roboters 12 um seine Achsen uber "elektroni- 
sche Nocken" gesichert sind. Dabei ist der "elektronische Nocken" als Wertebereich in einem Speicher der Mikrocom- 
puter 58, 60 im Safety-Controller 38 abgespeichert, dem ein bestimmter Bewegungsbereich des Roboters zugeordnet 
ist, wobei die abgespeicherten Werte mit uber den Bussen CAN_A und CAN_B ubertragenen Lage-lstwerten verglichen 

25 werden. Solange sich der Antrieb, d. h. die Lage-lstwerte im definierten Bereich des elektronischen Nockens befindet, 
wird dies als korrekte Funktion definiert. Die zu uberwachende Achse befindet sich in ihrer Sollposition. Wird der elek- 
tronische Nocken, d. h. der gespeicherte Wertebereich verlassen, verlasst die Achse ihre Sollposition und der Safe- 
ty-Controller 38 nimmt einen Ausgang, der diesem Wertebereich zugeordnet ist, zuruck. Dieser Ausgang kann direkt 
auf die Hauptschutze K1, K2 wirken oder kann uber Relaiskombinationen mit extemen Schutzeinrichtungen, wie zum 

30 Beispiel den Schutzturkontakten 20, 22, verknupft werden. 

[0098] Wenn eine Bedienperson den Schutzraum 14 betreten mochte, wird eine Sicherheitsposition bzw. "SAFE 
POSITION" angefahren. In diesem Fall werden alle Achsen 23 - 29 auf Stillstand uberwacht Die Sicherheitsposition 
kann ausgewahlt oder automatisch angefordert werden, wobei durch das Uberwachungs- und Steuergerat beim An- 
fordern uber die Robotersteuerung 36 eine aktive Uberwachung dieser Funktion automatisch erfolgt. 

35 [0099] Wird die Sicherheitsposition von der Robotersteuerung 36 angefordert, fahrt der Roboter 1 2 in eine definierte 
Position. Wenn alle Antriebseinheiten 24 - 30 bzw. alle Achsen 23 - 29 zum Stillstand gekomrhen sind, setzt der Safe- 
ty-Controller 38 in der Ausgangsebene 92 einen Ausgang. Dieser Ausgang ist zum Beispiel mit einem Sicherheitskon- 
takt der Schutztur 20, 22 verknupft. Die Schutztur 20, 22 kann geoffnet werden, ohne dass eine Fehlermeldung eine 
Abschaltung erzeugt, da der Roboter 12 auf Stillstand uberwacht wird. Verlasst eine der Antriebseinheiten 24 - 30 bzw. 

40 eine der Achsen die uberwachte Position, nimmt der Safety-Controller 38 den vorher gesetzten Ausgang zuruck. Dieser 
Ausgang ist entsprechend der Steuerungskategorie 3 nach EN 954 - 1 extern mit der Schutztur 20, 22 verknupft. Wird 
die Schutztur 20, 22 geoffnet wahrend sich eine oder mehrere Antriebseinheiten 24 - 30 bewegen, fallt der Ausgang 
des Safety-Controllers 38 beim Offhen der Schutztur 20, 22 ab und die Hauptschutze K1 und K2 werden nicht weiter 
bestromt (vgl. Fig. 4). 

45 [0100] In Fig. 10 ist ein Ablaufdiagramm 190 dargestellt, in dem die Ablaufschritte zur Einstellung der Sicherheits- 
position (SAFE POSITION) aufgezeigt werden. Der Programmablauf erfolgt redundant in den Mikrocomputern 58, 60 
des Safety-Controllers 80. Die Eriauterung erfolgt anhand des Programmablaufs in dem Mikrocomputer 58 (CPU 1). 
In einem ersten Schritt 192 fordert die Robotersteuerung 36 uber den Bus CAN_A die Sicherheitsposition an. Uber 
eine Eingabe 194, 194* werden den jeweiligen Mikrocomputern 58, 60 die redundanten Lage-lstwerte uber die Busse 

50 CAN_A und CAN_B zugefuhrt. Der Empfang der Anforderung der Robotersteuerung startet in einem Schritt 196, 196' 
den Programmablauf. In einem zwerten Schritt 198, 198' wird abgefragt, ob eine Anforderung der Sicherheitsposition 
vortiegt. Liegt eine Anforderung an, wird in einem nachsten Programmschritt 200, 200* der aktuelle Lage-lstwert aller 
Achsen mit der Sicherheitsposition verglichen. In einem nachsten Programmschritt 202, 202* wird festgestellt, ob der 
Lage-lstwert im Bereich der Sicherheitsposition liegt. Wenn dies nicht der Fall ist, wird in einem Programmschritt 204, 

55 204' eine Fehlermeldung erzeugt, wodurch die Sicherheitsposition zuruckgesetzt wird und die Antriebe ausgeschaltet 
werden. 

[0101] Liegen die Lage-lstwerte im Bereich der Sicherheitsposition, erfolgt in einem weiteren Programmschritt 206, 
206* eine Statusubergabe von Mikrocomputer 58 an Mikrocomputer 60 und umgekehrt. Im Programmschritt 208, 208* 
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erfolgt ein Vergleich, ob der Status des Mikrocomputers 58 dem Status des Mikrocomputers 60 und umgekehrt ent- 
spricht. 1st dies nicht der Fall, wird irri Programmschritt 210, 210* eine Fehlermeldung erzeugt und der Roboter wlrd in 
einen sicheren Zustand uberfuhrt. Entspricht der Status des Mikrocomputers 58 dem Status des Mikrocomputers 60 
und umgekehrt, wird in einem Programmschritt 212, 212' von jedem Mikrocomputer 58, 60 in der Ausgangsebene 92 
. 5 jeweils ein Ausgang "SAFE POS_1" und "SAFE POS_2" gesetzt. Anschlieftend erfolgt in einem Programmschritt 214, 
214 ein Rucklesen des Ausgangs "SAFE POS_2" durch den Mikrocomputer 58 bzw. ein Rucklesen des Ausgangs 
"SAFE POS_1" durch den Mikrocomputer 60. In einem Programmschritt 216, 216' wird uberpruft, ob die Ausgange 
"SAFE POS_1" und "SAFE POS_2" die gleichen Zustande aufweisen. 1st das der Fall, wird dies uber den Programm- 
schritt 218, 218' dem Eingang 198, 198' zuruckgemeldet. Anderenfalls wird im Programmschritt 220, 220' eine Feh- 

10 lermeldung erzeugt, die Ausgange werden zuruckgesetzt und die Antriebe ausgeschaltet. 

[0102] Beim Anlaufen der Robotersteuerung wird eine sichere Synchron-Position benotigt. Ein Abiaufdiagramm zur 
EinstellungderSynchronpositionistin Fig. 11 dargestellt. Die redundanten Mikrocomputer 102, 120 der Antriebssteue- 
rung 50 prufen nach dem Einschalten bzw. "POWER ON" gegenseitig ihre beim Ausschalten in den Flash-Speicher 
111, 125 abgelegten Lage-lstwerte. Da der Resolver 48 nur auf einer Umdrehung absolut arbeitet, muss in einer zu- 

15 satzlichen Routine die mechanische Position des Roboters 12 sicher zu diesen Lage-lstwerten synchronisiert werden. 
Dies geschieht durch Anfahren der Synchronisationsposition 32. Die Auswertung erfolgt durch den Safety-Controller 
und ist in Fig. 11 anhand des Ablaufdiagramms 222 dargestellt. Zunachst werden in einem ersten Programmschritt 
224, 224' den jeweiligen Mikrocomputern 58, 56 die Lage-lstwerte nach dem Einschalten uber die Busse CAN_A und 
CAN_B mitgeteilt. 

20 [0103] Nach dem Start durch Programmschritt 226, 226' in einen nachsten Programmschritt 228, 228 f wird festge- 
stellt, dass der Autobetrieb fur den Roboter 12 nach "POWER ON" nicht freigegeben ist. In einem nachsten Programm- 
schritt 230 wird abgefragt, ob eine Anforderung zur Einstellung der Synchronposition uber den Bus CAN_A erfolgt ist. 
Anschlieliend erfolgt in einem Programmschritt 232 eine Auiforderung zur Einstellung der Synchronposition von Mi- 
krocomputer 58 an den Mikrocomputer 60, woraufhin in diesem in einem Programmschritt 234 eine Abfrage gestartet 

25 wird. Ist keine Anforderung zur Einstellung des Synchron-Position erfolgt, wird zu Programmschritt 228, 228* uberge- 
gangen und der Autobetrieb fur den Roboter 12 wird nach "POWER ON" nicht freigegeben. 

[0104] Ist eine Anforderung zur Einstellung der Synchronposition eingegangen, wird in einem nachsten Programm- 
schritt 236, 236' uberpruft, ob die Synchronposition erreicht ist. Sollte diese Position nicht erreicht werden, wird in 
einem Programmschritt 238, 238' eine Fehlermeldung erzeugt und der Roboter wird in einen sicheren Zustand gefah- 

30 ren. Ist die Synchronposition erreicht, wird in einem Programmschritt 240, 240 ? eine Statusubergabe zwischen den 
Mikrocomputern 58, 60 eingeleitet. Anschlieftend erfolgt in Programmschritt 242, 242' eine Uberprufung, ob der Status 
des Mikrocomputers 58 dem des Mikrocomputers 60 entspricht. Sollte der Status nicht ubereinstimmen, wird in einem 
Programmschritt 244, 244' eine Fehlermeldung erzeugt und der Roboter wird in einen sicheren Zustand geschaltet. 
[0105] Stimmt der Status uberein, wird in einem Programmschritt 246, 246* ein Eingang SYNC POS_1 des Mikro- 

35 computers 58 bzw. ein Eingang SYNC POS_2 des Mikrocomputers 60 uberpruft. Liegt an den Eingangen ein Signal 
nicht an, wird in einem Programmschritt 248, 248* eine Fehlermeldung erzeugt, die anzeigt, dass der Roboter aufgrund 
eines fehlerhaften Synchronisationsschalters nicht synchron ist. Andererseits wird in einem Programmschritt 250, 250' 
bei synchron en Robotem der Autobetrieb freigegeben. 

[0106] In dem hier beschriebenen Ausfuhrungsbeispiel wird die Synchronposition durch den Synchronschalter 32 

40 deflniert. Der Synchronschalter 32 kann durch den Roboter 12 beim Erreichen der Synchronposition aktiviert werden 
oder anderenfalls kann eine Bedienperson die Synchronposition manuell quittieren. Die Synchronposition muss ein- 
deutig sein. Sie darf durch keine andere Winkelkombination der Roboterachsen erreicht werden. Eine Ungenauigkeit 
eines Sicherheitspositionsschalters von ca. 5 is 10 mm kann fur Personensicherheit akzeptiert werden. 
[0107] In jedem Fall mussen die Schutzturen 20, 22 wahrend der Fahrt des Roboters auf die Synchronposition bzw. 

45 den Synchronschalter geschlossen sein oder anderenfalls muss die Bewegung des Roboters uber einen Zustimmungs- 
schalter erfolgen. Erst wenn durch den Programmschritt 250, 250' sicher eine korrekte Synchronisation angezeigt wird, 
greifen samtliche Oberwachungen. Die Anforderung an den Safety-Controller 38, die Synchronposition zu uberwachen, 
erfolgt uber die Robotersteuerung 36 und uber den Bus CAN_A, sobald die Robotersteuerung den Roboter auf die 
Synchronposition positioniert hat. 

50 [0108] In Fig. 12 sind schematised Fahrbereiche von Achsen 252 - 262 dargestellt, die in bestimmten Winkelberei- 
chen achsspezifische, programmierbare "elektronische Nocken" 264 - 274 aufweisen. Diese Nocken 264 - 274 gelten 
nur fur die jeweiligen Achsen 252 - 262. Die elektronischen Nocken 264 - 274 der einzelnen Achsen werden durch 
den Safety-Controller 38 gemafc einem in Fig. 14 dargestellten Abiaufdiagramm 276 permanent uberwacht. 
[0109] In einem Programmschritt 278 werden die achsspezifischen Nocken in eine Istwert-Tabelle eingegeben. Des 

55 Weiteren werden in einem Programmschritt 280, 280* den jeweiligen Mikrocomputern 58, 60 die Lage-lstwerte den 
einzelnen Antriebseinheiten 24 - 30 bzw. den zugehorigen Achsen 252 - 262 zugefuhrt. Nach dem Programmstart 282, 
282' erfolgt ein Vergleich zum Beispiel des Lage-lstwertes der Achse 252 mit einer zugehorigen Werte-Tabelle, in der 
der Nocken 264 definiert ist. Sollte der Lage-lstwert zum Beispiel der Achse 252 im Bereich des elektronischen Nockens 
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264 liegen, wird im Programmschritt 286, 286' entschieden, dass im Programmschritt 288, 288 1 eine Statusubergabe 
an den Mikrocomputer 58 bzw. den Mikrocomputer 60 erfolgt. Im Programmschritt 290, 290' wird uberpruft, ob der 
Status des Mikrocomputers 58 dem Status des Mikrocomputers 60 und umgekehrt entspricht. Fallt diese Entscheidung 
negativ aus, wird in einem Programmschritt 292, 292* eine Fehlermeldung erzeugt und der Roboter 12 nimmt einen 

5 sicheren Zustand ein. Anderenfalls wird in einem Programmschritt 294, 294' ein dem Nocken 264 zugeordneter erster 
Ausgang "Nocken 262_1" durch den Mikrocomputer 58 und ein zweiter Ausgang "Nocken 264_2" durch den Mikro- 
computer 60 gesetzt. In einem weiteren Programmschritt 296, 296' erfolgt ein kreuzweises Rucklesen der Ausgange. 
Sofern die Ausgange den gleichen Zustand aufweisen, wird in einem Programmschritt 298, 298' ein Signal erzeugt, 
dass die sichere Nocke erreicht ist; anderenfalls wird in einem Programmschritt 300, 300' eine Fehlermeldung erzeugt, 

10 die Nocken werden zuruckgesetzt und die Antriebe ausgeschaltet. 

[0110] Die Anzahl der Ausgange des Safety-Controllers 38 ist von der jeweiligen Anwendung abhangig. Die elek- 
tronischen Nocken derjeweiligen Achsen 252 bis 262 sind vom Anwenderfrei programmierbar. In Fig. 13 ist das Prinzip 
einerkartesischen Nocke dargestellt. Eine kartesische Nocke 302 bildet einen raumlichen Bereich vorzugsweise einen 
Quader innerhalb des Gesamtverfahrbereichs des Roboters 12. Dabei werden Lage-lstwerte durch eine kinematische 

15 Transformation auf einen handhabungsgeratespezifischen Punkt 304 wie Roboterflansch bzw. einen TCP (Tool Center 
Point) verrechnet. Eine entsprechende Transformationsroutine ist in den Mikrocomputem 58 bzw. 60 vorhanden. Aus 
den empfangenen Lage-lstwerten werden durch Matrizenoperationen kartesische Koordinaten im kartesischen Raum 
berechnet. In den entsprechenden Matrizen wie z. B. Denavit-Hardenberg-Matrix, wird eine kinematische Kette der 
Roboterachsen abgebildet, wie z. B. ein Vertikalknick-Roboter oder ein Horizontalschwenkarm-Roboter etc. Diese 

20 Matrizen sind fur verschiedene Roboter-Kinematiken unterschiedlich. Der Transformation sal gorithmus ist jedoch fur 
alle Kinematiken gleich. 

[0111] Durch die kartesische Nocke 302 ist eine Uberwachung der Roboterachsen 252 - 262 moglich, wobei dann 
Ausgange in der Ausgangsebene 92 des Safety-Controllers 38 aktiviert werden, wenn sich der Roboter 12 auf einer 
definierten Position bzw. innerhalb eines im Raum definierten Bereichs befindet. Falls der Roboter 12 die gewunschte 
25 Position nicht erreicht hat oder sich nicht im entsprechenden Bereich befindet, wird der spezifizierte Ausgang deakti- 
viert. 

[0112] Die kartesische Nocke 302 kann vom Anwender beliebig programmiert werden. Dabei konnen mehrere kar- 
tesische Nocken programmiert werden. Die Anzahl der Nocken ist durch die maximale Erweiterung an sicheren Ein- 
und Ausgangen auf dem Safety-Controller 38 festgelegt Die Berechnung/Festlegung der kartesischen Nocken erfolgt 

30 unter Berucksichtigung der Bremswege derjeweiligen Achse. Wie schon erwahnt, konnen die elektronischen Nocken 
sowohl fur jede Achse einzeln, wie in Fig. 12 dargestellt, als auch fur die Summe aller Achsen, wie in Fig. 13 dargestellt, 
auf kartesischer Basis definiert werden. Die Programmierung der Nocken erfolgt jewei Is uberTabellen. Fur jede Achse 
ist eine Tabelle vorgesehen und eine zusatzliche Tabelle fur die kartesische Uberwachung. In jeder Tabelle konnen 
maximal 16 Nocken programmiert werden. In jedem Zyklus wird jede Tabelle durchlaufen, um zu uberprufen, ob sich 

35 eine Achse auf einem programmierten Nocken befindet bzw. ob sich die kartesische Position auf einem Nocken be- 
findet. Ist dies der Fall, so wird ein ebenfalls in der Tabelle programmierter Ausgang gesetzt. Das folgende Beispiel 
soli dies verdeutlichen: 

Beispiel: 

40 

[0113] 



Nocken-Tabelle fur Achse 1 (analog dazu Achsen 2 ... 24): 


Nocken-Nr. 


Nocken-Anf. 


Nocken-Ende 


Ausgang-Nr. 


Pegel 


1 


0 Grad 


10 Grad 


10 


1 


2 


170Grad 


180 Grad 


11 


1 




50 mm 


90 mm 
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Nocken-Tabelle fur kartesische Uberwachung: 


rMOCKen-i>ir. 
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V — 1 f\ mm 

a — i u mm 


Y — 9000 mm 
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Z = 1000 mm 


Z = 1500 mm 


10 


1 I 
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X = 1000 mm 


X = 4000 mm 








Y = 1500 mm 


Y = 5000 mm 








2 = 1200 mm 


Z = 1500 mm 


11 


1 
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[0114] Die Uberwachung bzw. Einstellung der kartesischen Nocken wird durch ein Ablaufdiagramm 306 gemafi Fig. 
15 beschrieben. Die Werte oder Wertebereiche der sicheren kartesischen Nocken werden in einem Programmschritt 
308 den Mikrocomputern 58, 60 mitgeteilt In den Programmschritten 310, 310' werden den Mikrocomputern die si- 
cheren Lage-lstwerte uber die Busse zugefuhrt. Nach dem Start gemaft Programmschritt 312, 312* werden in einem 
Programmschritt 314, 314 zunachst die RoboterKinematik, die insbesondere maximal 2*9=1 8 Achsen umfassen kann, 
transformiert und der kartesische Istwert des Punktes 304 wird berechnet. Im Programmschritt 316, 316* wird der 
berechnete kartesische Istwert des Punktes 304 jeweils dem anderen Mikrocomputer ubertragen. Andernfalls erfolgt 
im Programmschritt 318, 318' ein Vergleich, ob die kartesischen Istwerte der Mikrocomputer 58, 60 ubereinstimmen. 
Unterscheiden sich die kartesischen istwerte, wird im Programmschritt 320, 320' eine Fehlermeldung erzeugt und der 
Roboter in einen sicheren Zustand geschaltet. Anschlieftend erfolgt im Programmschritt 322, 322' ein Vergleich der 
Lage-lstwerte des TCP mit den in der Tabelle abgespeicherten Istwerten des zugehdrigen Nockens. Im Programm- 
schritt 324, 324' wird entschieden, ob die Lage-lstwerte im Bereich der zugeordneten Nocken liegen. 1st dies der Fall, 
wird im Programmschritt 326, 326* von jedem Mikrocomputer 58, 60 ein der jeweiligen Nocke zugeordneter Ausgang 
gesetzt. Anderenfalls wird zu Programmschritt 314, 314 ubergegangen. Im Programmschritt 328, 328* werden die 
jeweiligen Ausgange kreuzweise zuruckgelesen. Sind beide Ausgange gesetzt, wird nach Programmschritt 330, 330* 
entschieden, dass der sichere Nocken erreicht ist. Sind die Zustande der Ausgange nicht gleich, wird im Programm- 
schritt 332, 332 f eine Fehlermeldung erzeugt, die Nocken werden zuruckgesetzt und die Antriebe werden ausgeschal- 
tet. 

[0115] In einem sogenannten "Einrichtbetrieb" soli der Roboter bzw. ein Roboterflansch mit einer sicher reduzierten 
Geschwindigkeit verfahren werden. Grundlage der sicher reduzierten Geschwindigkeit sind die sicheren Lage-lstwerte 
der Achsen 252 bis 262. Die Lage-lstwerte werden in zeitlich gleichen Abstanden erfasst und durch eine kinematische 
Transformation in kartesische Raumkoordinaten umgewandelt und auf den Punkt 304 verrechnet. Aus jeweils zwei 
transformierten Positionswerten wird durch Differenzieren eine kartesische Geschwindigkeit des Punktes 304 errech- 
net und mit einer maximal eriaubten Geschwindigkeit verglichen. Bei Uberschreiten der eriaubten Maximalgeschwin- 
digkeit wird sofort eine uberwachte Funktion wie z. B. "STOP 1" eingeleitet, wobei die Antriebseinheiten 24 bis 30 auf 
schnellstmogliche Weise stillgesetzt werden, aber die Energiezufuhr zu den Antriebseinheiten beibehalten wird. Nach 
einschlagiger Norm darf sich der TCP im Einrichtbetrieb mit maximal 250 mm/s bewegen. 

[0116] Die Uberwachungs-Software muss zyklisch abgearbeitet werden, wobei eine Zyklusrate (Fehlertoleranzzeit) 
nicht uberschritten werden darf. In einem Abschaltzweig liegen ein Transistortreiber und die Hauptschutze K1 , K2, die 
ebenfalls Abschaltzeiten aufweisen. Die Zykluszeit muss in Abhangigkeit der erreichbaren maximalen Geschwindigkeit 
in den Betriebsarten EINRICHTEN und AUTOTEST, ungunstiger Achsstellungen, z. B. bei grower Reichweite, der 
Roboterkinematik und vorgegebener Fehlertoleranzzeit festgelegt werden. Die effektive Stillsetzzeit Hegt in der Gro- 
Renordnung der ublichen kontaktbehafteten Schaltgerate. 

[0117] Die Einstellungen der Kinematik, d. h. Definition der kinematischen Kette, Achslangen, Getriebedaten etc. 
sowie die Einstellungen der maximalen Verfahrgeschwindigkeit (maximal 250 mm/s) erfolgt einmalig in einer Initiali- 
sierungsphase beim Hochlaufen der Robotersteuerung 36. Dabei ist sicherzustellen, dass die initialisierten Daten von 
den Mikrocomputern 58, 60 des Safety-Controllers 38 aufgenommen, sicher abgespeichert und vor schreibendem 
Zugriff geschutzt werden. Die Parameter werden vor Ort mit Hilfe der Robotersteuerung 36 vermessen und berechnet 
und mOssen anschlieSend von einer Bedienperson verifiziert und bestatigt werden. 

[0118] Wie zuvor erwahnt, wird die Funktion "STOP 1" fur ein geregeltes schnelles Reduzieren der Geschwindigkeit 
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des Punktes 304 wie folgt uberwacht: Es findet erfindungsgemafJ eine Bremsrampen-Uberwachung statt. Bei der kar- 
tesischen Bremsrampenuberwachung soli festgestellt werden, ob der Roboter 12 nach Auslosen z. B. einer "STOP- 
1" bzw. "STOP 2"-Funktion seine Geschwindigkeit verringert. Hierzu werden In zeitlichen Abstanden die Drehzahl- 
bzw. Lage-lstwerte der Achsen eingelesen und kartesisch transformiert. Dadurch werden die kartesischen Raumko- 

5 ordinaten zum Beispiel des Tool-Center-Points (TCP) bzw. einer Werkzeugspitze fur das aktuell eingestellte Werkzeug 
berechnet. Durch Subtraktion eines kartesischen Datensatzes in einem ersten Abtastzeitpunkt von einem Datensatz 
in einem zweiten Abtastzeitpunkt ergibt sich ein Differenzvektor. Uber eine sich ergebende ZeitdifFerenz zwischen zwei 
Abtastpunkten kann eine kartesische Geschwindigkeit im Raum fur die Weirkzeugspitze bestimmt werden. Diese er- 
rechnete Geschwindigkeit muss nach Erkennen einer "Stop - 1" bzw. "Stop - 2" - Funktion, die z. B. durch eine Stop- 

10 Taste Oder einen Not-Aus-Schalter ausgelost wird, geringer werden. 1st dies nicht der Fall, muss eine Funktion "STOP 
- 0" ausgefuhrt werden. 

[01 19] Die Bremsrampen-Uberwachung soil mit Hilfe des in Fig. 16 dargestellten Diagramms 334 beschrieben wer- 
den. Ober die Abszisse 336 ist die Zeit t aufgetragen und uber die Ordinate 338 ist die Drehzahl n aufgetragen. Zum 
Zeitpunkt TO wird eine Stop-Funktion ausgelost und eine zu diesem Zeitpunkt gemessene Drehzahl Nx wird abgespei- 
15 chert. Diese Drehzahl ist in dem Diagramm 334 als Parallele 340 zu der Abszisse 336 dargestellt. T max ist ein Zeitpunkt 
nach n-Zyklen, nachdem die Hauptschutze K1, K2 zum Abfallen gebracht werden. Die Linie 342 stellt die aktuelle 
Drehzahl bzw. Geschwindigkeit dar, die zum Zeitpunkt TO der Drehzahl n = Nx und zum Zeitpunkt Tmax der Geschwin- 
digkeit n = 0 entspricht. 

[0120] Zum Zeitpunkt T1 wird die aktuelle Drehzahl mit der Anfangsdrehzahl Nx verglichen. Ist die aus den Dreh- 
20 zahlen berechnete kartesische Geschwindigkeit zum Zeitpunkt T1 gleich Oder grdfier als die aus Nx berechnete An- 
fangsgeschwindigkeit, wird sofort die Funktion "STOP 0" ausgelost. Ist jedoch die Geschwindigkeit zum Zeitpunkt T1 
kleiner als die Anfangsgeschwindigkeit, wird die Funktion "STOP 1" bis zum Zeitpunkt Tmax ausgefuhrt. Nach dem 
Zeitpunkt Tmax wird automatisch die Funktion "STOP 0" ausgefuhrt. 

[0121] Zum Schutz gegen unerwarteten Anlauf sind die in Fig. 17 dargestellten Maftnahmen vorgesehen. Zunachst 
25 wird der Schlusselwahlschalter 178 in die Stellung "EINRICHTEN" gestellt und alle Verfahrtasten werden auf "nicht- 
aktiv" uberpruft. Zu diesem Zeitpunkt wird auf sicheren Betriebshalt uberwacht. Durch einmaliges Betatigen des Zu- 
stimmungstasters 182 wird die Uberwachung der sicher reduzierten Geschwindigkeit durch den Safety-Controller 38 
eingeleitet. Ab diesem Zeitpunkt ist ein Verfahren des Roboters 12 mit den standard ma Rig en Verfahrtasten mdglich. 
Steht der Roboter 12 jedoch langer als eine Zeitspanne Tx in Ruhestellung, d. h. dass keine Verfahrtaste betatigt 
30 wurde, wird wieder auf sicheren Betriebshalt uberwacht. Zum emeuten Verfahren muss der Zustimmungsscha master 
182 erneut betatigt werden. 

[0122] Ein in Fig. 18 dargestelltes Ablaufdiagramm 344 zeigt die Uberwachung der sicher reduzierten Geschwindig- 
keit. In einem ersten Program mschritt 346, 346* werden den Mikrocomputem 58, 60 des Safety-Controllers 38 die 
sicheren Lage-lstwerte ubermittelt. Nach dem Start der Mikrocomputer im Programmschritt 348, 348* werden im Pro- 

35 grammschritt 350, 350' die Lage-lstwerte kinematisch transformiert und die Ist-Geschwindigkeit des Punktes bzw. des 
Roboterflansches 304 wird errechnet. Anschlieftend wird in einem Programmschritt 352, 352* jeweils die berechnete 
Ist-Geschwindigkeit von Mikrocomputer 58 an Mikrocomputer 60 ubermittelt und umgekehrt. In Programmschritt 354, 
354* wird abgefragt, ob die in den Mikrocomputem 58, 60 jeweils berechneten Ist-Geschwindigkeiten identisch sind. 
Sind die Geschwindigkeiten nicht identisch, wird in einem Programmschritt 356, 356' eine Fehlermeldung erzeugt und 

40 die Antriebe werden ausgeschaltet. Anderenfalls ist mit dem Programmschritt 358, 358' die Uberprufung der sicher 
reduzierten Geschwindigkeit abgeschlossen. 

[0123] In manchen Anwendungsfallen, wenn der Roboter 12 z. B. Lackieraufgaben ausfuhren soil, ist es notwendig, 
den Roboter im Einrichtbetrieb mit seiner betriebsmaftigen Geschwindigkeit zu fahren. Zunachst muss eine Bedien- 
person uber den im Programmierhandgerat 46 integrierten Schlusselschalter 180 die Betriebsart "AUTO-TEST" aus- 

45 wahlen. In einem nachsten Schritt ist es notwendig, den dreistufigen Zustimmungstaster 182-in seine Mittelstellung 
zu bewegen. Der Roboter beginnt nun seine Bewegung, d. h., dass ein Freigabe-Signal 362 gesetzt wird, sobald der 
Start-Verfahrtaster 360 betatigt wird. Wird der Start-Verfahrtaster 360 losgelassen, wird das Freigabesignal 362 zu- 
ruckgesetzt und der Roboter wird uber eine Funktion "STOP 2" stillgesetzt. Die Funktion "STOP 2" bedeutet ein ge- 
steuertes Stillsetzen, bei dem die Energiezufuhr zu den Antriebseinheiten erhalten bleibt. 

50 [0124] In einem sogen. "TIPPBETRIEB" lost der Safety-Controller 38 eine Funktion "STOP 1" aus, sobald der Zu- 
stimmungstaster 182 bei betatigtem Start-Verfahrtaster 360 seine Mittelstellung verfasst. Wird zunachst der Start- 
Verfahrtaster 360 losgelassen und anschlie&end der Zustimmungstaster 182, so wird der Roboter 12 automatisch auf 
Stillstand, d. h. Funktion "STOP 2" uberwacht. 

[0125] In einem sogen. "PULSBETRIEB", der in Fig. 20 dargestellt ist, ist bei eingeschaltetem Schlusselwahlschalter 
55 180, betatigtem Zustimmungstaster 182 in Mitlelstellung und betatigtem Start-Verfahrtaster 360 ein einmaliges Beta- 
tigen des Verfahr-Tasters 360 notwendig, um das Freigabesignal 362 zu schalten. 

[0126] Des Werteren kann uber den Schlusselschalter 176 eine Betriebsart "AUTOBETRIEB" ausgewahlt werden. 
Diese Betriebsart kann nur bei geschlossenen Schutzturen 20, 22 ausgefuhrt werden. Bei dieser Betriebsart werden 
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keine besonderen Anforderungen an den Safety-Controller 38 gestellt. 

[0127] In Fig. 21 ist eine erfindungsgemafte Bremsensteuerung in einem Prinzipschaltbild 364 dargestellt. Die Brem- 
sensteuerung wird uber den Safety-Controller 38 ausgefuhrt, an dem ein Service-Modul 366 uber sichere Eingange 
368, 370 angeschlossen ist. Uber sichere Ausgange 372, 374 werden in Reihe liegende Schutzkontakte 376, 380 

5 betatigt, die uber einen externen Steuerungstransformator 380 eine 24 V-Bremsenversorgungsspannung an die An- 
triebseinheiten 24 bis 30 leiten. Die Antriebseinheiten 24 bis 30 weisen jeweils ein elektronisches Schaitelement 382, 
384 auf, das uber ein Und-Glied 386, 388 mit den redundanten Kreisen bzw. Kanalen 52, 54 der Antriebssteuerung 
50 verbunden ist. Ein Ausgang 390, 392 der Antriebseinheiten 24 bis 30 ist mit einer Bremseinrichtung 394, 396 der 
jeweiligen Antriebseinheiten verbunden. Achsen- bzw. Antriebseinheiten ohne Schwerkraftbelastung sind uber einen 

w Notschalter 398 ebenfalls mit einer nicht mit dem Hauptschalter der Steuereinheit geschalteten externen 24 V Brem- 
senversorgungsspannung 400 verbunden. Uber den Notschalter 398 konnen die angeschlossenen Bremseinrichtun- 
gen geluftet werden, auch wenn die Energieversorgung fur die Steuereinheit uber den Hauptschalter ausgeschaltet 
ist. Der Leistungsschalter 376, 378 der Bremsenversorgungsspannung ist extern aufgebaut. Dadurch wird die Flexi- 
bility gegenuber der Anzahl und Leitungsaufnahmen der angeschlossenen Motoren bzw. Bremsen erhoht. Bei nor- 

15 maler Betriebsart schalten die Ausgange 372, 374 parallel zu den Ausgangen zur Ansteuerung der Leitungsschutze 
K1 , K2. Sollte keine andere Betriebsart benotigt werden, konnen die Schaltelemente 376, 378 Kontakte der Leistungs- 
schutze K1, K2 sein. 

[0128] Zur Untersuchung der Laufeigenschaften des Roboters, insbesondere von Getrieben oder anderen mecha- 
nischen Elementen durch einen Se rv ice-Tech niker wird der Roboter in eine Betriebsart "SERVICE MODE" geschaltet. 

20 Dazu muss zum Beispiel die Bremseinrichtung 394 einer zu untersuchenden Achse manuell geluftet werden. Im Ser- 
vice-Mode steht der Roboter 12 unter Beobachtung des Service-Technikers. Der Service-Mode kann auf verschiedenen 
Ebenen (Gefahrdungsklassen) aktiviert werden. Einerseits kann der Service-Mode durch Menu-Anwahl im Program- 
mierhandgerat 46 eingestellt werden und andererseits kann eine Freigabe von Energie, zum Beispiel die Leistung fur 
Bremsen, durch Betatigen des an den sicheren Eingangen 368, 370 angeschlossenen Service-Moduls 366 erfolgen. 

25 [0129] Fur die Betriebsart "SERVICE MODE", d. h. die Bremsen manuell zu luften, ist folgende Bedienung vorge- 
sehen: Zunachst wird im Programmierhandgerat 46 ein Bedien-Menu angewahlt. Es werden einzelne Tasten definiert 
bzw. freigegeben, mit welchen die einzelnen Haltebremsen 394, 396 geluftet werden konnen. Anschliefcend wird z. B. 
uber einen Schlusselschalter das Service-Modul 366 an den sicheren Eingangen 368, 370 des Safety-Controllers zur 
Einstellung des Service-Mode gesetzt. In dieser Konstellation schaltet der Safety-Controller 38 die Bremsleistung uber 

30 die Schaltkontakte 376, 378 frei. Dabei sind die Bremsen 394. 396 jedoch noch nicht geluftet. In einem nachsten Schritt 
kann die Antriebssteuerung 50 innerhalb der Antriebseinheiten 24 bis 30 durch Schalten des intemen Bremsschalters 
382, 394 die Bremseinrichtungen 394, 396 der zugehorigen Achse luften. Der Roboter selbst ist in dieser Betriebsart 
ohne Leistung. Er kann nur manuell oder durch Schwerkraft bewegt werden. Eine Ruckkehr in den normalen Betrieb 
ist nur durch Rucksetzen des "SERVICE MODE" moglich. 

35 [0130] Zur Behebung von Produktionsstorungen ist eine Betriebsart "Gruppensteuerung" vorgesehen. Steckt der 
SchweiSroboter 12 zum Beispiel nach einer Stromquellenstorung mit festgebranntem Schweiftdraht in einer schwer 
zuganglichen Stelle des Werkstucks fest, ha ben sich die Antriebseinheiten 24 bis 30 durch den Fehler abgeschaltet. 
Ein Verfahren der Roboterachsen im Einrichtbetrieb ware bei einem ungeubten Bediener gleichbedeutend mit einer 
erhohten Kollisionsgefahr. Es ist jedoch schneller und einfacher z. B. an Achsen ohne oder nahezu ohne Schwerkraft- 

40 belastung wie Kopfachsen mit einem Befehl uber das Programmierhandgerat die Bremseinrichtungen 394. 396 zu 
luften und die Achsen manuell in eine ubersichtliche Position zu bewegen. Achsen mit einer Schwerkraftbelastung von 
etwa 6 kg konnen in dieser Betriebsart geluftet werden. 

[0131] Fur diese Sonderbetriebsart ist folgende Bedienung vorgesehen: In einem ersten Schritt wird die Gruppe in 
einen sicherheitsrelevanten Bereich der Maschinendaten abgelegt. In einem zweiten Schritt wird ein Bedien-Menu im 
45 Programmierhandgerat angewahlt, wobei eine Taste definiert bzw. freigegeben wird, mit der die Gruppe von Halte- 
bremsen im "TIPPBETRIEB" geluftet werden konnen. In einem dritten Schritt schaltet der Safety-Controller 38 die 
Bremsleitung uber die Schaltkontakte 376, 378 frei, so dass in einem vierten Schritt Haltebremsen einer Achse durch 
Schalten des intemen Bremsschalters 382, 384 geluftet werden konnen. 

[0132] Auch in dieser Betriebsart ist der Roboter ohne Leistung. Die Achsen mit gelufteten Bremsen konnen nur 
50 manuell bewegt werden. Die gefahrdeten bzw. der Schwerkraft ausgesetzten Achsen sind nicht in die Gruppendefinition 
aufgenommen. Die nicht freigegebenen Achsen werden wahrend dieser Betriebsart auf Stillstand uberwacht. Ein un- 
beachsichtigtes Schalten zum Beispiel durch einen Defekt des einkanaligen Bremsschalters 382, 384 einer Antriebs- 
einheit 24 - 30, der auch als Servo-Verstarker bezeichnet werden kann, wurde auch die Bremse einer schwerkraftbe- 
lasteten Achse luften und die Achse konnte sich bewegen. In diesem Fall schaltet der Safety-Controller 38 die Brem- 
55 senleistung ab. Eine Ruckkehr in den Normalbetrieb geschieht durch Anwahl der gewunschten Betriebsart "VERFAH- 
REN" durch das Programmierhandgerat. Fur eine gesteuerte Roboterbewegung mussen die Antriebe eingeschaltet 
werden. 

[0133] Auch besteht die Moglichkert, uber die exteme Spannungsversorgung 400 und den Notschalter 398 eine 
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Gruppe von Bremseinrichtungen extern zu luften. Das externe Luften von Bremseinrichtungen ist nur fur Notfalle vor- 
gesehen. In diesem Fall kann die Robotersteuerung 36 bzw. der Safety-Controller 38 ausgeschaltet sein, wobei jedoch 
eine externe Hilfsenergie zur Verfugung steht. Durch Betatigen eines leicht zuganglichen Tasters 398 (im Tippbetrieb) 
werden an alien nicht schwerkraftbelasteten Achsen die Bremseinrichtungen 394 geluftet. In diesem Zustand kann die 
5 Robotermechanik manuell bewegt werden, zum Beispiel zum Befreien einer eingeklemmten Person. Die Auswahl der 
zulassigen Achsen geschieht durch die interne Schaltschrankverdrahtung, wobei nur die Bremsen an die externe Hilf- 
senergie 400 angeschlossen werden. 

[01 34] Auch besteht erfindungsgemafj die Moglichkeit, die Bremswirkung der Bremseinrichtungen 394, 396 zu uber- 
prufen. Diese Bremsenprufung wird bei jedem Einschalten der Antriebe durchgefuhrt. Zunachst wird ein Hauptschalter 

10 eingeschaltet und die Robotersteuerung 36 sowie der Safety-Controller 38 werden hochgefahren. Anschliefiend wer- 
den die Antriebe eingeschaltet und die Bremseinrichtungen 394, 396 geluftet. Schiiefclich wird ein Haltestrom l H der 
Achsen gemessen, wobei die Roboterachsen unterschiedlich belastet und beliebig im Raum stehen konnen. Des Wei- 
teren werden die Bremseinrichtungen 394, 396 durch Schaltung der internen Bremsschalter 382, 384 betatigt und ein 
achsspezifischer Stromwert l Test = l H ± l OFFSET wird an die Endstufe abgegeben, mit Ioffset = x * 'nenn und x im 

15 Bereich von 0,6 < x < 1,0 vorzugsweise 0,8 und I NEN n a ' s dem Stromwert, der dem Nennmoment M NENN der Brems- 
einrichtung entspricht. Als Weiteres werden alle Achsen auf Stillstand uberpruft. Bei Bedarf kann der Safety-Controller 
38 auf sicheren Betriebshalt prufen. Dann wird der Offset-Zuschlag vom Stromsollwert zuruckgenommen, die Halte- 
bremsen geluftet und in den Normalbetrieb ubergegangen. 

[0135] Die Nennmomente M NENN der Bremseinrichtungen variieren mit der Baugrolie des Motors, so dass diese 
20 Information fur die Berechnung des Strom-Offsetwertes insbesondere des Wertes I NE nim in den Maschinendaten ab- 
gelegt sein sollen. 

[0136] Die Elektronik der Antriebssteuerung 50, die auch als Servo- Verstarker bezeichnet werden kann, wird in Ab- 
hangigkeit des Betriebszustandes von verschiedenen Spannungsquellen versorgt. Zunachst weistjede Antriebssteue- 
rung 50 ein Schaltnetzteil auf, mit dem im Betriebszustand Hauptschalter "EIN" und eingeschalteten Antrieben die 

25 komplette Elektronik der Motorsteuerung 50 mit Leitungsteilen und aktiver PWM versorgt wird. Ein direkt am Netz 
liegendes externes Schaltnetzteil versorgt die komplette Elektronik der Motorsteuerung ohne Leistungsteil im Betriebs- 
zustand "EIN". aber bei ausgeschalteten Antrieben. Ferner wird durch das externe Schaltnetzteil nur die Resolver- 
Auswerte- Elektronik versorgt, wenn der Hauptschalter ausgeschaltet ist. Bei Netzausfall wird ebenfalls nur die Resol- 
ver-Auswertelogik uber einen Akku und ein externes Schaltnetzteil versorgt. 

30 [0137] Ein Netzausfall kann in verschiedenen Betriebszustanden auftreten. Dabei geht das System kontinuierlich in 
den Betriebszustand mit geringster Energie uber. In einem Ablaufdiagramm 402 gemafi Fig. 22 ist eine Not-Stop- 
Routine dargestellt. In einem ersten Programmschritt 404 wird ausgewertet, ob ein Netzausfall durch das Signal AC- 
FAIL oder ein Ausschalten der Robotersteuerung 36 bzw. des Safety-Controllers erkannt wurde. Wurde der Netzausfall 
oder ein Ausschalten der Robotersteuerung erkannt, startet gemali Programmschritt 406, 406' eine Not-Stop-Routine 

35 sowohl im Kreis 52 als auch im Kreis 554 mit den Mikrocomputern 102, 120. Im Kreis 52 konnen nicht mehr benotigte 
Module wie CAN-lnterface 56, LED-Anzeigen und andere Module abgeschaltet werden, da die Robotersteuerung 36 
und der Safety-Controller 38 in Kurze nicht mehr versorgt werden. Ein Netzausfall wird mit dem Signal ACFAIL des 
externen Schaltnetzteil s der Motorsteuerung erkannt und ein Ausschalten der Steuerung durch Ausbleiben der Soll- 
werte auf den Bus CAN_A. In einem weiteren Programmschritt 410, 41 0 1 wird uberpruft, ob sich die Achse im Stillstand 

40 befindet. Befindet sich die Achse nicht im Stillstand, wird in einem Programmschritt 412, 412' die Achse zuerst auf 
Stillstand geregelt. Dazu wird die generatorische Energie der Motoren wahrend des Verzogerns verbraucht. Es werden 
die Standardkanale der Lageregelung verwendet. Die programmierte Bahn wird veriassen, da die Robotersteuerung 
nicht mehr arbeitet. Das Stillsitzen der Achse kann in Abhangigkeit der Roboterkinematik 1 bis 1,5 s andauern. 
[0138] Die weiteren Programmschritte nach Erreichen des Stillstandes werden in den Kreisen 50, 52 redundant 

45 durchgefuhrt. In einem nachsten Programmschritt 414, 114' wird in beiden Kreisen die Haltebremse aktiviert und in 
Programmschritt 416, 416' nach einer Wartezeit uberpruft, ob die Bremsen eingefallen sind. Dies geschieht durch 
einen Vergleich im Programmschritt 41 8, 418' mehrerer Lage-lstwerte, die sich nicht mehr andern durfen. Anschlie&end 
wird der Lage-lstwert in einem Programmschritt 420, 420', bestehend aus mitgezahlten Umdrehungen und dem Re- 
solverwert in ein jeweiliges Systemflag 111, 123 abgelegt. Nach erfolgreichem Schreiben des Lage-lstwertes in das 

50 Flag 1 1 1 , 1 23 werden die Achsen als synchron markiert. Das hei&t, ein Synchron-Flag wird gesetzt. Mit Programmschritt 
422, 422' endet die Not-Stop-Routine. Im Normalfall ist bis zu diesem Zeitpunkt das Schaltnetzteil des Leistungsteils 
aktiv, da Kondensatoren des Zwischenkreises bis zum Stillstand geladen werden. Nach Entladen des Zwischenkreises 
ubernimmt das externe Schaltnetzteil mit Akku-Pufferung die Energieversorgung, indem Programmschritt 424, 424' 
ausgelost wird. 

55 [0139] Das Verhalten der Antriebssteuerung 50 im Akku-Betrieb ist einem Ablaufdiagramm 426 gemafi Fig. 23 zu 
entnehmen. Bei Netzausfall erfolgt die Spannungsversorgung uber einen Akku, wobei nur die Resolver-Auswerteelek- 
tronik versorgt wird. Dazu werden zur Veriangerung der Pufferzeit nicht mehr benotigte Verbraucher wie SRAM 106 
des Microcomputers 102, Mikrocomputer 122 und der Teller 118, DP RAM 130, DP RAM 116 abgeschaltet. 
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[0140] Die verbleibende aktive Hardware ist in Fig. 24 dargestellt. Im Programmschritt 428, 428' wird in den Kreisen 
52, 54 der Motorsteuerung die "Power down-Routine" gestartet. Bei Programmschritt 430, 430* werden alle nicht be- 
notigten Verbraucherwie zuvor erwahnt abgeschaltet. Die redundanten Mikrocomputer 102 und 120 arbeiten nur noch 
im System Flash 111. 123 und im intemen SRAM 106, 122. Die Referenzspannung wird zur Verbrauchsminimierung 

5 nur im Messintervall aktiviert. 

[0141] Im Programmschritt 432 wird in Kreis 52, d. h. im Mikrocomputer 102 ein Zeitablauf zur zyklischen Resolver- 
Auswertung vorgegeben. In Programmschritt 434 wird die Timer-Zeit abgefragt. Alle 200 ms wird in Programmschritt 
436 ein Signal "Start-Resolver" erzeugt, uber das ein Resolverauswertezyklus in Kreis 54 angefordert wird. Durch 
Programmschritt 438 im Kreis 54 wird die zyklische Anforderung von Kreis 52 uberwacht. Detektiert der" Programm- 

10 schritt 438 innerhalb von 200 ms kein Signal "Start-Resolver", wird ein Ausfall von Kreis 52 erkannt und eine Fehler- 
meldung in Programmschritt 440 erzeugt. Die Achse wird von Kreis 54 asynchron markiert, d. h., das Synchronflag 
wird zuruckgesetzt und auf die Kommunikation mit dem Safety-Controller 38 gewartet. 

[0142] Bei korrekterzyklischer Anforderung startet Kreis 54 seinen Referenzfrequenz-Generator im Programmschritt 
442 und setzt sein Signal SOC (start of conversion) fur die Analog-Digitalwandler in den Kreisen 52, 54. In Programm- 
es schritt 444 wartet Kreis 52 auf das Signal SOC. Nach erfolgreicher Konvertierung muss das Signal SOC in Programm- 
schritt 446 im Kreis 52 erkannt werden, der die Funktion des Kreises 54 mit identischer Fehlerreaktion uberwacht. In 
Programmschritt 448 startet in Kreis 54 eine Analog-Digitalkonvertierung der Sin-/Cos-Signale. Anschliefcend erfolgt 
eine Berechnung der Lage-lstwerte in Programmschritt 450, 450\ Der Lage-lstwert wird in Programmschritt 452, 452' 
mit dem Lage-lstwert des letzten Zyklus verglichen. Beide Lage-lstwerte mussen gleich sein, d. h. die Achse darfsich 
20 nicht bewegen. Sind die Lage-lstwerte nicht identisch, wird in Programmschritt 454 eine Fehlermeldung erzeugt. Wenn 
in einem Kreis 52, 54 ein Fehler erkannt wird, wird die zyklische Bearbeitung eingestellt. Dadurch wird der redundante 
Partner ebenfalls in den Fehlerzustand gezwungen. Wird kein Fehler erkannt, legen beide Mikrocomputer 102, 120 in 
einem Programmschritt 456, 456' den ermittelten Lage-lstwert im jeweiligen prozessorinternen SRAM 106, 122 ab. 
Sollte bis zu diesem Zeitpunkt kein Fehler aufgetreten sein, wird die Achse als synchron markiert, indern im Programm- 
25 schritt 458, 458* ein Sync-flag gesetzt wird. Anschliefcend wird in Programmschritt 460, 460' gepruft, ob das System 
noch im Powerdown-Modus verbleiben muss. Wenn ja, wird mit Programmschritt 434 bzw. 438 fortgefahren. Wenn 
nein, wird in den Standard-Mode gemafi Programmschritt 462, 462' ubergegangen. 

[0143] Sobald die Netzspannung wiederkehrt, wird im Falle einer aktiven Akku-Pufferung kein Hardware-Reset 
durchlaufen. Die in beide Kreisen 52, 54 im prozessorintern SRAM 106, 122 abgelegten Lage-lstwerte und Status- 

30 Informationen werden nach Aussprung in Standard-Mode gemali Programmschritt 462, 462' von beiden Kreisen an 
den Safety-Controller 38 ubertragen. Ist auf beiden Seiten kein Fehler aufgetreten und sind beide Lage-lstwerte iden- 
tisch, wird die Achse mit Absolutwert von dem Safety-Controller synchron gesetzt und in den Automatik-Betrieb frei- 
gegeben. Ist keine Akku-Pufferung aktiv Oder bricht die Puffer-Spannung zusammen, z. B. wenn der Akku entiaden 
ist, wird nach dem Wiederanlauf auf die im Flash abgelegten Lage-lstwerte zuruckgegriffen und gegenseitig verglichen. 

35 Die Achse wird erst nach erfolgreichem Anfahren der Synchronposition von dem Safety-Controller mit Absolutwerten 
synchron gesetzt. 

[0144] In Fig. 24 ist ein Prinzipschaltbild 464 dargestellt, das die im Power-down-Mode aktive Hardware zeigt. Im 
Power-down-Mode ist nur die Resolver-Auswerteelektronik aktiv. Diese besteht aus dem Resolver, den Analog-Digi- 
tal wandlern 114, 136, dem Referenzwertgeber 138 und dem Mikrocomputer 102, 122 mit zugeordnetem Flash 111, 

40 1 23. Bei ausgeschaltetem Hauptschalter liegt ein externes Schaltnetzteil 466 direkt an Netzspannung, ohne dass es 
uber den Hauptschalter der Robotersteuerung schaltbar ist. Das Schaltnetzteil 466 ist mit einem Akku 468 verbunden, 
der bei Netzausfall die Resolver-Auswerteelekironik mit Spannung versorgt. Das Schaltnetzteil 466 wird uber eine 
integrierte ACFAIL-Uberwachung 470 uberwacht. Bei Spannungsausfall wird ein Signal IR-ACFAIL erzeugt, das dem 
Mikrocomputer 102 und dem Steuerwerk 138 zugefuhrt wird. Der weitere Ablauf ist dem Ablaufdiaramm gemafi Fig. 

45 22 zu entnehmen. 

[0145] Bei Spannungsabfall wird in jedem Kreis 52, 54 durch ein separates Supervisor-IC (nicht dargestellt) ein 
Hardware-Reset ausgelost. Danach werden beide Kreise 52, 54 neu gebootet und initialisiert, wodurch die gespei- 
cherten Statusinformationen im intemen SRAM 106, 122 geloscht werden. Die in dem jeweiligen Systemflash 111, 123 
abgelegten Lage-lstwerte und das Synchron-Flag werden uber den jeweiligen CAN_B-Bus an den Safety-Controller 
50 38 ubertragen. In dem Safety-Controller 38 wird entschieden, ob die Lage-lstwerte von beiden Kreisen 52, 54 gleich 
sind und ob das Synchron-Flag in beiden Kreisen gesetzt ist. Daraufhin werden die Achsen von der Robotersteuerung 
36 auf die Synchronposition gefahren, anschliefcend setzt der Safety-Controller 38 eine Freigabe fur den Automatik- 
betrieb, wenn der Sync Pos-Eingang bei korrekten Achs-lstwerten bekannt wurde. 

[0146] Sind die Lage-lstwerte der beiden Kreise 52, 54 unterschiedlich oder ist das Synchron-Flag nicht gesetzt, 
55 sind die Achsen asynchron und mussen von einer Bedienperson synchronisiert werden. Dazu werden die Achsen 
ebenfalls von der Robotersteuerung auf die Synchronposition gefahren, anschliefcend setzt der Safety-Controller 38 
die Freigabe fur den Automatikbetrieb, wenn der Sync Pos-Eingang bei korrekten Achs-lstwerten bekannt wurde. 
[0147] Bei Akku-Pufferung wird bei Wiederkehr des Netzes kein Hardware-Reset durchgefuhrt. Die abgelegten Sta- 
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tus-lnformationen (synchron/ asynchron) und der Lage-lstwert in den jeweiligen intemen SRAM's 106, 122 werden 
von beiden Kreisen an den Safety-Controller 38 ubertragen. Im Safety-Controller wird verglichen, ob die Lage-lstwerte 
von beiden Kreisen 52, 54 gleich und ein Synchron-Flag in beiden Kreisen gesetzt wurde. 1st dies der Fall, setzt der 
Safety-Controller 38 eine Freigabe fur Automatikbetrieb, wobei die Syrichronposition nicht angefahren werden muss. 
Sind die Lage-lstwerte von beiden Kreisen unterschiedlich oder wurde der Synchron-Flag nicht gesetzt. sind die Achsen 
asynchron und mussen von einer Bedienperson synchronisiert werden. Dazu werden die Achsen von der Roboter- 
steuerung 36 auf die Synchron-Position gefahren. Anschlieftend setzt der Safety-Controller 38 seine Freigabe fur den 
Automatik-Betrieb, wenn der Sync Pos - Eingang bei korrekten Achs-lstwerten erkannt wurde. 



Patentanspriiche 

1. Verfahren zur Uberwachung der Geschwindigkeit eines im Raum bewegbaren geratespezifischen Punktes (304) 
einer technischen Anlage (12), insbesondere eines Handhabungsgerates, 

dadurch geke nnzeichnet, 

dass Lage-lstwert-Signale von Antriebseinheiten (24 - 30) erfasst werden, dass aus den Lage-lstwert-Signalen 
durch eine Transformation soperati on kartesische Koordinaten des Punktes (304) berechnet werden und dass die 
berechneten kartesischen Koordinaten mit abgespeicherten Werten und/oder Wertebereichen verglichen werden, 
um ein Signal zum Stillsetzen der Anlage (12) zu erzeugen, wenn die transformierten kartesischen Koordinaten 
den Wert und/oder Wertebereich uberschreiten. 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass ein Differenzvektor durch Subtraktion eines ersten kartesischen Koordinatensatzes in einem ersten Abtast- 
zeitpunkt von einem zweiten kartesischen Koordinatensatz in einem zweiten Abtastzeitpunkt errechnet wird, dass 
eine kartesische Geschwindigkeit des Punktes (304) uber eine Zeitdifferenz zwischen dem ersten und zweiten 
Abtastzeitpunkt ermittelt wird und dass ein Signal (STOP - 0) zum ungesteuerten Stillsetzen der Antriebseinheiten 
dann erzeugt wird, wenn die errechnete Geschwindigkeit eine vorgegebene maximale Geschwindigkeit ubersteigt. 

3. Verfahren nach Anspruch 2, 
dadurch gekennzeichnet, 

dass eine Uberwachung der Geschwindigkeit zyklisch erfolgt. 

4. Verfahren nach Anspruch 2, 
dadurch gekennzeichnet, 

dass die maximale Geschwindigkeit V max = 250 mm/s betragt. 

5. Verfahren nach vorzugsweise einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass nach Auslosung eines Signals zum Stillsetzen der Einrichtung eine Anfangsgeschwindigkeit (V Anfang ) des 
Punktes (304) ermittelt und gespeichert wird, dass nach einer Zeitspanne (AT) die aktuelle Geschwindigkeit V akt 
ermittelt und mit der Anfangsgeschwindigkeit (V^^g) verglichen wird und dass dann, wenn die aktuelle Geschwin- 
digkeit (V alct ) nach der Zeitspanne (AT) gleich oder grolier der Anfangsgeschwindigkeit ist, ein Signal zum unge- 
steuerten Stillsetzen der Einrichtung erzeugt wird. 

6. Uberwachungs- und Steuergerat (38) zur Uberwachung einer zumindest eine portable und/oder mobile und/oder 
immobile Einrichtung umfassenden technischen Anlage (10) mit erhohten Sicherheitsanforderungen, insbeson- 
dere eines in einer Schutzeinrichtung angeordneten Handhabungsgerates, mit zumindest einer vorzugsweise zen- 
tralen und/oder dezentralen Steuereinheit (36) sowie mit dieser verbundenen Aktoren (24 - 30; K1, K2) zur Aus- 
fuhrurig von gefahrbringenden Aktionen, wobei das Uberwachungsund Steuergerat (38) mit Sensoren (20, 22) 
und/oder Aktoren (24 - 30) verbunden ist und deren Zustande auswertet, verarbeitet und steuert, insbesondere 
zur Durchfuhrung des Verfahrens nach zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass die Steuereinheit (36) uber zumindest eine Datenverbindung mit dem zumindest einen Aktor (24 - 30) und/ 
oder Sensor (20, 22) und dem Uberwachungs- und Steuergerat (38) verbunden ist, dass das Uberwachungs- und 
Steuergerat (38) in Abhangigkeit der Zustande der Sensoren (20, 22) und/oder Aktoren (24 - 30) zumindest ein 
Freigabesignal an die Steuereinheit zur Ermoglichung zumindest einer Aktion in der technischen Anlage (10) uber- 
tragt, dass das Freigabesignal eine Aktion auslost, die durch das Steuer- und Uberwachungsgerat (38) durch 
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Vergleich mit gespeicherten und/oder vorgegebenen Ausfuhrungs- und/oder Funktions- und/oder Plausibilitats- 
vorgaben bzw. Bewegungsablaufen uberwacht wird, und dass im Fehlerfall zumindest ein weiteres Signal erzeugt 
wird, durch das die Anlage in einen sicheren Zustand uberfuhrt wird. 

7. Uberwachungs- und Steuergerat nach Anspruch 6, 
dadurch gekennzeichnet, 

dass der Aktor (24 - 30; K1 , K2) und/oder der Sensor (20, 22) als eine die technische Anlage (10) in den sicheren 
Zustand uberfuhrende Sicherheitseinrichtung (14) ausgebildet ist. 

8. Uberwachungs- und Steuergerat nach Anspruch 6 oder 7, 
dadurch gekennzeichnet, 

dass der Aktor (24 - 30) insbesondere eine Antriebseinheit (24 - 30) mit zugehoriger Antriebssteuerung (50), ein 
Leistungsschutz (Kl, K2), ein Relais oder ein Ventil umfasst. 

9. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Aktion ein Bewegungsablauf ist, . 

10. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche. 
dadurch gekennzeichnet, 

dass die Datenverbindung eine serielle Busleitung (CAN_ A) ist. 

11. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Steuereinheit (36) und das Uberwachungs- und Steuergerat (38) physisch separate Einrichtungen sind. 

12. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass von der Steuereinheit (36) fortlaufend oder einmalig ein Lage-Sollwert-Signal an die zumindest eine ange- 
schlossene Antriebssteuerung (50) und/oder an das Oberwachungs- und Steuergerat und von der zumindest einen 
Antriebssteuerung (50) Lage-lstwert-Signale zumindest an die Steuereinheit (36), vorzugsweise sowohl an die 
Steuereinheit (36) als auch an das Oberwachungs- und Steuergerat (38) ubertragen werden, dass die Lage-lstwert- 
Signale jeder Antriebssteuerung (50) mit in dem Uberwachungsund Steuergerat (38) abgespeicherten und vor- 
zugsweise von der Steuereinheit (36) ubertragenen antriebsspezifischen Werten und/oder Wertebereichen ver- 
glichen werden und dass bei Veriassen des jeweiligen Wertes und/oder Wertebereiches das weitere Signal erzeugt 
wird. 

13. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das Uberwachungs- und Steuergerat (38) zur Auswertung elektromechanischer Sicherheitsschalter (366) 
und zur Ansteuerung extemer Schaltgerate (376, 378) eine zweikanalige Ausgangs- und Eingangsebene (66) mit 
kreuzweisem Datenvergieich aufweist und/oder dass zumindest ein weiterer Busanschluss (72) vorgesehen ist, 
um das Uberwachungs- und Steuergerat (38) in einen ubergeordneten Sicherheitsbus zu integrieren. 

14. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das Oberwachungs- und Steuergerat (38) zwei Kanale mit jeweils zumindest einem Mikrocontroller (102, 
120) aufweist, wobei jeder Mikrocontroller (1 02, 1 20) uber einen Buscontroller (56, 58) mit der Busleitung (CAN_A, 
CAN_B) verbunden ist. 

15. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Mikrocontroller (102, 120) uber eine Verbindung (80) zum gegenseitigen Datenaustausch miteinander 
verbunden sind. 

16. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die von den Antriebssteuerung en (50) ubertragenen Lage-lstwerte mit einem Identifier deklariert werden und 
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dass bei Empfang dieser Identifier in jedem Mikrocontroller (102, 120) des Uberwachungs- und Steuergerates ein 
Interrupt ausgelost wird und dass das Uberwachungs- und Steuergerat fur sicherheitsrelevante Daten wie Lage- 
lstwerte, Sensor- und/oder Aktorsignale eine Zeiterwartungshaltung aufweist. 

17. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass jedem Wert und/oder Wertebereich zumindest ein sicherheitsgerichteter Ausgang und/oder Eingang (92, 
94) des Uberwachungs- und Steuergerates (38) zugeordnet ist, wobei die Ausgange und/oder Eingange mit pas- 
si ven und/oder aktiven Schaltelementen (96, 98) (Sensoren und/oder Aktoren) wie elektromechanischen Sicher- 
heitsschaltern oder Leistungsschutzen und Relais verknupft sind. 

18. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Steuereinheit (36) Lage-Sollwert-lnformationen zum Anfahren definierter Positionen wie Safe-Position, 
Sync-Position an die zumindest eine Antriebseinheit (24 - 30) und das Uberwachungs- und Steuergerat (30) uber- 
tragt, wobei den definierten Positionen antriebsspezifische Werte zugeordnet sind, die zu dem Uberwachungs- 
und Steuergerat (38) ubertragen und mit den ermittelten Lage-lstwerten der Antriebseinheiten (24 - 30) verglichen 
und uberwacht werden. 

19. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass bezuglich einer Antriebseinheit (24 - 30) bzw. einer Antriebsachse eine Vielzahl von Werte bereichen definiert 
sind, die antriebsspezifisch von dem Uberwachungs- und Steuergerat (38) uberwacht werden, wobei jedem Wert 
und/oder Wertebereich ein oder mehrere Ausgange des Oberwachungs- und Steuergerates (38) zugeordnet sind. 

20. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Werte und/oder Wertebereiche antriebsspezifisch programmierbar sind und 
dass jedem Wert und/oder Wertebereich Ausgange zugeordnet sind. 

21. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Lage-lstwerte einzelner Antriebseinheiten (24 - 30) in dem Uberwachungsund Steuergerat (38) und/oder 
der Steuereinheit (36) durch eine vorzugsweise kinematikspezifische Transformation auf einen handhabungsge- 
ratespezifischen Punkt (304) wie Roboterflansch bzw. Tobl-Center-Point (TCP) verrechnet werden und dass kar- 
tesische Wertebereiche fur n-dimensionale Bewegung mit insbesondere n=3 in einer Tabelle abgespeichert sind, 
wobei jeder Wertebereich zumindest einem Ausgang des Uberwachungs- und Steuergerates (38) zugeordnet ist. 

22. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die n-dimensionajen mit insbesondere n=2 oder n=3 in den Tabelien a bgelegten Wertebereiche bei jedem 
Zyklus mit den empfangenen und transformierten Lage-lstwerten verglichen werden. 

23. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Lage-lstwerte samtlicher Antriebseinheiten (24 - 30) ermittelt und durch eine kinematik-spezifische Trans- 
formation auf den handhabungsgeratespezifischen Punkt (304) errechnet werden und dass aus zumindest zwei 
transformierten Positionswerten durch Differenzieren die kartesische Geschwindigkeit des Punktes (304) errech- 
net und mit einer vorgegebenen maximalen Geschwindigkeit verglichen wird. 

24. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet , 

dass eine Uberwachung der Geschwindigkeit zyklisch erfoigt. 

25. Uberwachungs- und Steuergerat nach zumindest einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass nach Auslosung des weiteren Signals eine kartesische Anfangsgeschwindigkert V^^g des Punktes (304) 
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ermittelt und gespeichert wird, dass nach einer Zeitspanne AT die aktuelle Geschwindigkeit ermittelt und mit 
der Anfangsgeschwindigkeit verglichen wird, wobei dann, wenn die aktuelle Geschwindigkeit V akt nach 

der Zeitspanne AT gleich oder grofter der Anfangsgeschwindigeit V Anfang ist, die Anlage sofort in den sicheren 
Zustand uberfuhrt wird. 

5 

26. Verfahren zum sicherheitsgerichteten Uberwachen zumindest einer Achse einer Antriebseinheit, insbesondere 
zur Oberwachung einer zumindest eine portable und/oder mobile und/oder immobile Einrichtung umfassenden 
technischen Anlage (10) mit erhbhten Sicherheitsanforderungen, insbesondere eines in einer Schutzeinrichtung 
angeordneten Handhabungsgerates, umfassend zumindest eine vorzugsweise zentrale und/oder dezentrale Steu- 
10 ereinheit (36) sowie mit dieser verbundene Aktoren (24 - 30; K1 , K2) zur Ausfuhrung von gefahrbringenden Ak- 

tionen, unter Verwendung eines Uberwachungs- und Steuergerates nach zumindest Anspruch 6, 
dadurch gekennzeichnet, 

dass ein Lage-lstwertsignal der zumindest einen Achse einkanalig erfasst und zweikanalig ausgewertet wird. 

15 27. Verfahren nach Anspruch 26, 
dadurch gekennzeichnet, 

dass das Lage-lstwertsignal aus zwei zueinander phasenverschobenen periodischen Signalen gebildet wird, 
dass die Summe von Potenzen von Amplituden der Signale gebildet und mit einem in einem Wertebereich 
20 liegenden Wert verglichen wird, und 

dass ein Fehlersignal erzeugt wird, wenn die Summe nicht innerhalb des vorgegebenen Wertebereichs liegt 

28. Verfahren nach Anspruch 26, 
dadurch gekennzeichnet, 

25 dass das Lage-lstwertsignal aus den zwei zueinander phasenverschobenen periodischen Signalen gebildet wird, 

dass in jedem Kanal die Summe der Amplitudenquadrate gebildet und mit einem konstanten oder einem in dem 
Wertebereich liegenden Wert verglichen wird, dass ein Fehlersignal erzeugt wird, wenn die Summe nicht dem 
vorgegebenen Wert entspricht bzw. nicht innerhalb des Wertebereichs ist, und dass das Lage-lstwertsignal dem 
weiteren zweikanaligen Uberwachungs- und Steuergerat (38) zugefuhrt wird, das die in jedem Kanal gebildeten 

30 Summen der Amplitudenquadrate miteinander und /oder mit dem konstanten Wert bzw. in dem Wertebereich lie- 

genden Wert vergleicht. 

29. Verfahren nach zumindest einem der Anspruche 26 bis 28, 
dadurch gekennzeichnet, 

35 dass eine Plausibilitatsprufung der Lage-lstwert-Signale durchgefuhrt wird, wobei gepruft wird, ob die Summe der 

Quadrate der Ausgangsamplituden einem vorgegebenen Wert x entspricht, mit x im Bereich von 0,9 < x < 1,1 
vorzugsweise x = 1 = (sin cp) 2 + (cos (p) 2 . 

30. Verfahren nach zumindest einem der Anspruche 26 bis 29, 
40 dadurch gekennzeichnet, 

dass ein richtungsabhangiges Signal eines Drehzahl- bzw. Lage-Sollwertes erzeugt und mit einem richtungsab- 
hangigen Signal des Drehzahl- bzw. Lage-lstwertes vorzugsweise zweikanalig verglichen wird und dass die vor- 
zugsweise zweikanalig erzeugten Werte dem Uberwachungs- und Steuergerat (38) zugefuhrt und dort miteinander 
verglichen werden. 

45 

31. Verfahren nach zumindest einem der Anspruche 26 bis 30, 
dadurch gekennzeichnet, 

dass zwischen den Kanalen (52, 54), vorzugsweise zwischen den Mikrocomputem ein interner Kreuzvergleich 
der erfassten Istwerte durchgefuhrt wird und dass im Fehlerfall eine Impulssperre erzeugt wird. 

50 

32. Verfahren nach zumindest einem der Anspruche 26 bis 31, 
dadurch gekennzeichnet, 

dass bei fehlender ublicher Energieversorgung der Antriebseinheiten (24 - 30) (Power-Down-Modus) eine Still- 
standsuberwachung durchgefuhrt wird, wobei in jedem Kanal (52, 54) die Istwert-Signale uberwacht werden und 
55 bei Veranderung der Istwert-Signale uber eine eingestellte Toleranzgrenze hinaus ein "Marker" gesetzt wird, der 

nach Wiedereinschaiten der ublichen Energieversorgung in das Uberwachungs- und Steuergerat (38) ubertragen 
und mit abgespeicherten Sollwerten verglichen wird. 
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33. Anordnung zum sicherheitsgerichteten Oberwachen einer von einer Antriebseinheit (24 - 30) angetriebenen Achse 
(148) einer technischen Anlage (10), umfassend einen mit der Achse gekoppelten Lage-lstwertgeber (48), dermit 
einer zweikanaligen Antriebssteuerung (50) zur Auswertung verbunden ist, zur Durchfuhrung des Verfahrens nach 
Anspruch 26, 

dadurch gekennzeichnet, 

dass der Lage-lstwertgeber (48) einkanalig ausgefuhrt ist und zumindest zwei Ausgange (144, 146) aufweist, an 
denen bei Drehung der Achse (148) zwei zueinander phasenverschobene periodische Signale abgreifbar sind, 
dass die Ausgange (144, 146) mit jeweils einem Kanal (52, 54) der Antriebssteuerung (50) verbunden sind und 
dass die einzelnen Kanale (52, 54) der Antriebssteuerung (50) einerseits mit einer ubergeordneten zentralen oder 
dezentralen Steuereinheit (36) und andererseits mit einem zweikanaligen Uberwachungs- und Steuergerat (38) 
zum Vergleich der empfangenen Istwert-Signale verbunden sind. 

34. Anordnung nach Anspruch 33, 
dadurch gekennzeichnet, 

15 dass die mit dem Lage-lstwertgeber (48) verbundene zweikanalige Antriebssteuerung (50) als integraler Bestand- 

teil des Uberwachungs- und Steuergerates (38) oder als eigenstandige Einheit unabhangig von der Antriebseinheit 
(24 - 30) diesem vorgelagert ist. 

35. Anordnung nach Anspruch 33 oder 34, 
dadurch gekennzeichnet, 

dass der Istwert-Geber (48) als Resolver mit zwei analogen Ausgangen fur die Istwert-Signale und einem Eingang 
(142) fur ein Referenzsignal ausgebildet ist, dass die Ausgange (144, 146) jeweils uber einen A/D-Wandler (114, 
136) mit dem Kanal (52, 54) der Antriebssteuerung (50) verbunden sind und dass der Eingang (142) fur das Re- 
ferenzsignal mit einem Referenzgenerator (140) verbunden ist. 

36. Anordnung nach zumindest einem der Anspruche 33 bis 35, 
dadurch gekennzeichnet, 

dass der Referenzgenerator (140) von einer Kontrol I einheit (138) gesteuert wird, wobei die Kontrolleinheit (138) 
einen Impulserzeuger, eine Zahlstufe und einen Zustandsgenerator aufweist, wobei die Zahlstufe Impulse fur den 
als D/A-Wandler ausgebildeten Referenzgenerator (140) abgibt und der Zustandsgenerator uber eine Leitung zur 
Ubertragung eines Startsignals (SOC) mit den A/D-Wandlern (114, 136) verbunden ist. 

37. Anordnung nach zumindest einem der Anspruche 33 bis 36, 
dadurch gekennzeichnet, 

35 dass die analogen Ausgange (144, 146) des Resolvers uber Treiberbausteine mit den Eingangen der A/D-Wandler 

(114, 136) verbunden sind und wobei die Treiberbausteine in verschiedenen Gehausen angeordnet sind. 

38. Anordnung nach zumindest einem der Anspruche 33 bis 37, 
dadurch gekennzeichnet, 

40 dass die Kanale (52, 54) redundant und/oder diversitar aufgebaut sind. 

39. Anordnung nach zumindest einem der Anspruche 33 bis 38, 
dadurch gekennzeichnet, 

dass der erste Kanal (52) einen Mikrocontroller(102) mit integriertem Buskoppler (56) und einen Transceiver (104) 
45 aufweist, dass der zweite Kanal einen ersten Signalprozessor (120), einen separaten Speicherbaustein (126), 

einen zweiten Signalprozessor als Lageregler(128) sowie einen separaten Transceiver (134) und Buskoppler (58) 
mit Ansteuerung (132) aufweist, wobei der Microcontroller (102) und der als Lageregler ausgebildete Signalpro- 
zessor (128) auf einen gemeinsamen Speicher (130) zugreifen. 

Anordnung nach zumindest einem der Anspruche 33 bis 39, 
dadurch gekennzeichnet, 

dass der A/D-Wandler (136) des zweiten Kanals (54) uber einen ersten Anschluss mit einem Intenupt-Eingang 
des ersten Signalprozessors (120) verbunden ist und dass der A/D-Wandler (114) des ersten Kanals (52) uber 
einen zweiten Anschluss mit einem Eingang eines Teilerbausteins (118) verbunden ist, dessen Ausgang mit einer 
Interrupt-Steuereinheit des Mikrocontrollers (102) verbunden ist. 

41. Anordnung nach zumindest einem der Anspruche 33 bis 40, 
dadurch gekennzeichnet, 
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dass die Zeit zwischen zwei empfangenen Interrupt-Signalen (EOC) gemessen wird und dass ein Signal zur Uber- 
fuhrung der Anlage (10) in den sicheren Zustand ausgelost wird, wenn innerhalb einer Zeitspanne ein Interrupt- 
Signal (EOC) nicht detektiert wird. 

42. Anordnung nach zumindest einem der Anspruche 33 bis 41 , 
dadurch gekennzeichnet, 

dass bei Abweichung der Referenzf requenz von einem Frequenznormal oder bei einem Ausbleiben der Referenz- 
frequenz eine Impulssperre generiert wird. 

43- Anordnung nach zumindest einem der Anspruche 33 bis 42, 
dadurch gekennzeichnet, 

dass das Signal (EOC) in dem zweiten Kanal (54) eine Zahlerstufe ansteuert, wobei die Zahlerstufe dekremehtiert 
wird und eine Impulssperre aktiviert, wenn das Signal (EOC) ausfallt. 

44. Vorrichtung nach zumindest einem der Anspruche 33 bis 43, 
dadurch gekennzeichnet, 

dass die Kanale (52, 54) jeweils einen integrierten Lage- und/oder Drehzahlregler aufweisen, wobei das Vorzei- 
chen eines Drehzahi- bzw Lage-Sollwertes standig mit dem Vorzeichen eines Drehzahi- bzw. Lage-lstwertes ver- 
glichen wird und bei Abweichung der Vorzeichen uber einen langeren Zeitraum ein Signal erzeugt wird, durch das 
die Anlage (10) in einen sicheren Zustand uberfuhrt wird. 

45. Verfahren zur Steuerung und Qberwachung einer Bremseinrichtung (394, 396) mit einem Nennmoment (M NENN ), 
die einer Antriebseinheit (24, 26) einer technischen Anlage (10) wie Handhabungsgeratzugeordnet ist, unter Ver- 
wendung von zumindest einem der vorhergehenden Anspruche, 

dadurch gekennzeichnet, 

dass ein einem Haltemoment entsprechender Haltestrom (l H ) der Antriebseinheit (24, 26) bei geoffneter Brems- 
einrichtung (394, 396) gemessen und gespeichert wird, dass die Antriebseinheit (24, 26) bei geschlossener Brems- 
einrichtung (394, 396) mit einem achsspezifischen Stromwert (l TEST ) beaufschlagt wird, der die Bremseinrichtung 
mit einem Moment belastet, das gleich oder kleiner als das Nennmoment (M NENN ) der Bremseinrichtung (394, 
396) ist, und dass der Antrieb (24, 26) gleichzeitig auf Stillstand uberwacht wird. 

46. Verfahren nach Anspruch 45, 
dadurch gekennzeichnet, 

dass sich der Stromwert (Ijest) aus dem gemessenen Haltestrom (l H ) und einem Offset-Strom Ooffset) ©rg'bt 
gemafl 

'test = 'h ± 'offset 

wobei Offset = x • 'n 

mit 0,6 < x < 1 ,0, vorzugsweise x = 0,8, und 

l N ein Strom ist, der dem Nennmoment (M NENN ) entspricht. 

47. Verfahren nach Anspruch 45 oder 46, 
dadurch gekennzeichnet, 

dass der Stromsollwert (I^sj) in der Antriebseinheit (24, 26) ein Moment erzeugt, das 60 bis 100 % des Nerin- 
momentes (M NENN ), vorzugsweise 80 % des Nennmomentes betragt. 

48. Verfahren nach zumindest einem der Anspruche 45 bis 47, 
dadurch gekennzeichnet, 

dass die Bremseinrichtung (394, 396) einer nicht schwerkraftbelasteten Achse uber einen externen Schaltkontakt 
(398) losbar ist und uber eine Hilfsenergie (400) betrieben wird. 

49. Verfahren nach zumindest einem der Anspruche 45 bis 48, 
dadurch gekennzeichnet, 

dass bei einer individuellen Losung der Bremseinrichtung en (394, 396) einer Gruppe von nicht oder im wesentli- 
chen nicht durch Schwerkraft belasteten Achsen wie Kopfachsen, verbleibende durch Schwerkraft belastete Ach- 
sen auf Stillstand uberwacht werden. 
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50. Verfahren nach zumindest einem der Anspruche 45 bis 49, 
dadurch gekennzeichnet, 

dass eine Spannungsversorgung (380) fur die Bremseinrichtungen (394, 396) uber ein externes Steuer- und Clber- 
wachungsgerat (38) zugeschaltet wird und dass eine mit der Bremseinrichtung (394, 396) gekoppelte Antriebs- 
steuerung (24, 26) ein Signal erzeugt, mit dem die Bremseinrichtung einer Achse geoffhet bzw. geluftet wird. 
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Sichere 
Lageistwerte 
CPU1 
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-310 



308 
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Q Sichere Nockenschalter- karthesiscrT) 



310- 



j=V^StartCPUl)— 312 



Transformation Roboter- 
kinematik lHAchsen max.) 
Berechnung kartW von Ransch/TCP 



-31 k 314- 



312- J -f startcPU2 V _ 



Input: 
Sichere 
Lageistwerte 
CPU2 



Transformation Roboter- 
kinematik lUAchsen max.) 
Berechnung kartiv von Hansen/ TCP 



| Obergabe kartiw anCPU — 31 6 31ft" H 0ben 9 abe Wa ^ ;w a»CPU1 | 
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. Feh!erinredvindanterCPU2: 
-sicheren Zustand einnehmen 
- Fehlermeldung 




No- 



Yes 
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Fehler in redundanterCPUl: 
-sicheren Zustand einnehmen 
- FeMermeldung 



Vergleich der Lageistwerte (kartiw) 
von Flansch/TCP mit Istwerttabetle 
der Nocken 
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Vergleich der Lageistwerte Ikartiw) 
von Ransch/TCP mit Istwerttabetle 
der Nocken 
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326" \ Ausgang Nocken i_2 setzefT) 



Rucklesen Ausgang 
»_2 von CPU2uber 
Schutzkontakt 
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Rucklesen Ausgang 
i_1 von CPU1 uber 
Schutzkontakt 



^ — Yes 





Fehter in Treiber/Schutzlogik : 

Nocken zurucksetzen 
. Fehlermeldung 
- Antriebe ausschalten 
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Fehter in Treiber/Schutzlogi* : 
-Nocken zurucksetzen. 
- Fehlerrnetdung 
-Antriebe ausschalten 
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T=0(=ZyklusO) T1=mZyklen TmaxmZyklen 
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Zustimmungstaster 
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Drehzahl- 
uberwachung 
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1 = sicher red.Geschwindigkeit 
O-sicherer Bet riebs halt 



FIG:17 
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180~-Schlusselvahlschalter 



182~Zustimmimgsfasfer 



360~Stert7Verfahrtasten 

I L 



362 — Freigabe 
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Input: 
Sicbere i^-jM-D 
Lageistwerte 

CPU1 



Q Sicher reduzierteGeschwindigkeit ^ 
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346- 
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Start CPU 1 ^^348 



Input: 
Sichere 
Lageistwerte 

CPU 2 



348^ start cpu 2 ^ — 



Transformation Roboter- 
kinematik IttAchsen max.) -J — 350 350" 
Berechnung Vist von Flansch 



Transformation Roboter- 
kinematik I H Achsen max. ) 
Berechnung. Vist von Flansch 



UbergabeVist anCFUZ 
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UbergabeVistanCPUt 




Fehler in redundanter 

CPU 2: 
-Antriebe ausschalten 
- Fehlermeldung 
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Yes 



Fehler in redundanter 

CPU 1 : 
-Antriebe ausschalten 
»Fehlermeldung 
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FIG.18 
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180 Schlusselwahlschalter 



182 — Zusfimmungstaster 



360~ Sfart/Verfahrfasten 



362 ~ Freigabe 



FIG. 20 
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Reaktion der Redundanten Kreise ( A und B ) 
bei Spannungsausfall 



CNOT- STOP- Routine] 



402 




AC FAIL von Puff erne tzteil 
WO vonRSV 
(keine Sollwerte uber CAN_A) 

r 
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Start Kreis B 
NOT- STOP- Routine 
(TIC32/ADSP 2)05) 



Option: Abschalten nicht 
benbtigter Module (VCC 31 




^08 



Achse in 
Still stand I n-O) 
regeln 

Sollwertvorgabe 
an Kreis B 

i \ 




in U2' 



Sollwerte fur 
StiUsetzen |n = 0) 
von Kreis A 
erwarten und 
a usfuhren 

T 
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^^^ "Haltebremse aktivierenj 

MB 



ja 



Wartezeit 
Kaltebremse einfallen 



| Haltebreroseaktrvieren -j^i+lk' 




Wartezeit 
Haltebremse einfalfen . 
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^Brerose etngefalten ? 
Achse im Stillstahd? 


nein 



Jmehrmals prufenj^ 
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Lageistwert (32bit) in Flash C167 ablegen 
SYNC- Flag setzen 


£.20 , 





Lageistwert C32bit) in FlashADSP 2105 ablegm 
SYNC- Flag setzen 
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Ende NOT - STOP 
Kreis A 



>l>22 L22 ^"Cnde NOT-STOP^N 
V. Kreis B 



lm Idealrai! ist bis hierV6/Vext aktiv 



r n I ^S; Jtart Power- Down^X 
\ Routine Kreis A^/ 



^ Ab h ier ubemim/nt die Putferspannung falls vorh andcn^ 

/^S»a 



FIG.22 



Start Power-Down 
Routine Kreis B 
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Sollte die Versorgungsspannung vor Beendigung der NOT- STOP -Routine zusammenbrechen ist die Achse 
beim Wiederanlauf asynchron gesetzt und das Bedienpersonal mufl die Achse neu synchronisieren. Oie 
Synchronisierung ertolgt durch Anfahren der Sync- Position. Nach Guittierung der Sync-Position setzt 
das Safety - Modul die Achse synchron fur Auromatikbetrieb. 
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PUtferbetrieb nach Spannungsausfal! [Power- Down-Mode] 

Ab hier ubernimmt die Puf re rspannung, falls vorhanden 



StartKreisA 
Power-Down- Routine ^ 
I SiemensC167L 




/ J Abschalten alter nicht benbligten Verbrautherj j Abschalten alter nicM benbligten / -jrj ' 
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! — nein 
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TTL-IO 
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Resotverund ADC zxischalten 
— Referenzfrequenz • 

StartjOl Conversion erzeugen 
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Analog- Digital- Konvertierung sin/cos 
URBS- Zyklus) 
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f > ^Q # — |"lagetstwert beredr>en(arttan)| 



lageistwert in intemen RAM C167 
abgelegen 
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mmwm 

:Kcmmuptot^<rnil 
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Nicht.uber Hauptschalterder 
Robotersteuerung geschaltet : iiber 
seperate Vorsicherung direkt am 
Netz angeschlossen i n 
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Schaltnetzteil 
ca.lOOW 
Vout=7V 



Integrierte AC fail 
Uberwachung 
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